[1866] Einsendearbeit 4

[1866] Einsendearbeit 4 /

Aufgabe 2:


Bedingung:

Aktion:

1

Absender IP Adresse = * UND Absender Port Nummer = * UND Empfänger IP-Adresse = * UND Empfänger Port Nummer = 80

erlauben

2

Absender IP Adresse = * UND Absender Port Nummer = 110 UND Empfänger IP-Adresse = 10.7.2.5 UND Empfänger Port Nummer = 110

erlauben

3

Absender IP Adresse = * UND Absender Port Nummer = 21 UND Empfänger IP-Adresse = 10.7.2.7 UND Empfänger Port Nummer = 21

erlauben

4

Absender IP Adresse = 10.7.2.9 UND Absender Port Nummer = 22 UND Empfänger IP-Adresse = 132.179.*.* UND Empfänger Port Nummer = 22

erlauben

5

Absender IP Adresse = * UND Absender Port Nummer = * UND Empfänger IP-Adresse = * UND Empfänger Port-Nummer = *

verwerfen

Rest folgt....
 
Aufgabe 3:

Da ein Paketfilter zwischen zwei Netzwerken liegt (z.B. Internet und Intranet) wäre es für einen Angreifer aus dem Internet z.B. zweckmäßig eine interne IP-Adresse aus dem Intranet zu fälschen. Damit könnte er evtl. strenge Filterregeln umgehen und somit Zugriff zu bestimmten Anwendungen (Ports) bekommen die er sonst nicht hätte. Als Abwehrmaßnahme wäre in diesem Fall eine Filterung von eingehenden Paketen nach Absender IP-Adressen die Intranet IP-Adressen entsprechen. Diese Pakete sollten alle verworfen werden damit diese Attacke nicht funktioniert. Umgekehrt wäre es möglich, bei mangelnder Konfiguration des Paketfilters („sonst ist nicht erlaub“ nicht als Regel existiert) , das jemand aus dem Intranet Anwendungen (Ports) nutzt die für ihn sonst gesperrt wären. Die Lösung des Problems wäre ausgehende Pakete zu filtern und alle Pakete mit externen (Internet) IP-Adressen zu verwerfen.



Rest folgt...
 
Aufgabe 4:

a)

iptables –A FORWARD –s 10.1.9.101 –d 10.1.2.15 –dport 22 –m state – state NEW –j ACCEPT

Diese Regel besagt, dass der Rechner mit der IP-Adresse 10.1.9.101 eine Verbindung über den Port 22 (SSH) mit dem Rechner 10.1.2.15 aufbauen darf. Der Paketfilter blockiert diese Pakete nicht.

iptables –A FORWARD –m state –state ESTABLISHED, RELATED –j ACCEPT

Der Rechner mit der IP-Adresse 10.1.2.15 darf nachdem eine Verbindung aufgebaut wurde auch Pakete an den Rechner mit der IP-Adresse 10.1.9.101 schicken.

Eine SSH-Kommunikation zwischen den beiden Rechnern ist somit möglich, allerdings nur wenn diese vom Rechner mit der IP-Adresse 10.1.9.101 initiiert wird.

b)

Diese Regeln („Input-Kette“) gelten nur für Pakete die direkt an den Paketfilter gesendet werden.

Entscheidend sind in diesem Fall Regeln der FORWARD-Kette. Da hier keine gegeben sind wird eine Kommunikation mittels SSH wohl mit allen Rechnern funktionieren.

c)

iptables –A FORWARD –s 10.1.9.101 –d 10.1.2.15 –dport 22 –m state – state NEW –j ACCEPT

Diese Regel besagt, dass der Rechner mit der IP-Adresse 10.1.9.101 eine Verbindung über den Port 22 (SSH) mit dem Rechner 10.1.2.15 aufbauen darf. Der Paketfilter blockiert diese Pakete nicht.

iptables –A FORWARD –m state –state ESTABLISHED, RELATED –j ACCEPT


Der Rechner mit der IP-Adresse 10.1.2.15 darf nachdem eine Verbindung aufgebaut wurde auch Pakete an den Rechner mit der IP-Adresse 10.1.9.101 schicken.

iptables –P FORWARD DROP

Diese Regel besagt, dass alle Pakete die von den vorangegangenen Regeln nicht explizit erfasst werden, verworfen werden.

Da die beiden vorangegangenen Regeln jedoch wie unter a) eine SSH-Kommunikation ermöglichen spielt diese Regel in diesem Fall keine Rolle mehr.

Eine SSH-Kommunikation zwischen den beiden Rechnern ist somit möglich, allerdings nur wenn diese vom Rechner mit der IP-Adresse 10.1.9.101 initiiert wird.

d)

iptables –A FORWARD –s 10.1.2.15 –d 10.1.9.101 –dport 22 –m state – state NEW –j ACCEPT

Diese Regel besagt, dass der Rechner mit der IP-Adresse 10.1.2.15 eine Verbindung über den Port 22 (SSH) mit dem Rechner 10.1.9.101 aufbauen darf. Der Paketfilter blockiert diese Pakete nicht.

iptables –A FORWARD –m state –state ESTABLISHED, RELATED –j ACCEPT

Der Rechner mit der IP-Adresse 10.1.9.101 darf nachdem eine Verbindung aufgebaut wurde auch Pakete an den Rechner mit der IP-Adresse 10.1.2.15 schicken.

iptables –P FORWARD DROP


Diese Regel besagt, dass alle Pakete die von den vorangegangenen Regeln nicht explizit erfasst werden, verworfen werden.

Da die beiden vorangegangenen Regeln jedoch wie unter a) eine SSH-Kommunikation ermöglichen spielt diese Regel in diesem Fall keine Rolle mehr.

Eine SSH-Kommunikation zwischen den beiden Rechnern ist somit möglich, allerdings nur wenn diese vom Rechner mit der IP-Adresse 10.1.2.15 initiiert wird.

Mfg Frank
 
Aufgabe 2 (Paketfilter)

Hallo Frank,
danke für Deine Vorschläge! die Musterlösungen sind nun beim Lehrstuhl einsehbar.

An dieser Aufgabe irritiert mich, dass in der ML nicht zwischen Absender und Empfäger differenziert wird.
Auch ist für mich nicht nachvollziehbar, warum die vierte ssh-Regel mit ODER verknüpft wird. Müssten nicht alle drei Regeln gültig sein, und damit mit UND verknüpft werden?

Grüße,
Klangfreund
 
@Klangfreund:

Auf Seite 174 im Skript findest du eine Abbildung über der Steht: "Die folgende Tabelle zeigt, wie solche Regeln im Prinzip aussehen."

Ich dachte, dass stellt die vereinfachte und aus didaktischen Gründen gewählte Darstellung dar. Die ist einfacher zu überblicken, weil einfach weniger drin steht.

Weiter unten steht: " Die Tabellen in denen die Regeln einer Firewall tatsächlich gespeichert sind sehen in der Praxis allerdings komplexer aus."

Auf der Seite 175 oben sieht man dann eine komplexere Tabelle. Ich hatte gemeint so müsste in etwa eine als korrekte und vollständige Lösung akzeptierte Tabelle aussehen. Der Lehrstuhl bevorzugt offensichtlich die knappe Variante.

Zu deinen Anmerkungen:

Filterregel 1) - 3)

Im Prinzip wird hier durch die Fehlende Differenzierung zwischen Absender und Empfänger nur der Teil von meinen Filterregeln weggelassen die den Wert * hatten. Das macht keinen Unterschied und stellt nur eine verkürzte Schreibweise dar.


Filterregel 4)

Hier kommt es zu der Besonderheit, dass nun auf beiden Seiten der Verbindung Einschränkungen zwecks der Teilnehmer existieren. Also kein * mehr.

Folglich muss man bei dem in der ML angegebenen Paketfilter, mangels Differenzierung zwischen Sender und Empfänger, Pakete an den Port 23 von den beiden IP Adressen akzeptieren. Wobei beide IP-Adressen sowohl als Sender wie auch als Empfänger auftreten können.

Das ODER bezieht sich darauf, dass Entweder Pakete von der einen oder der anderen zugelassenen IP-Adresse kommen können.

Auch das ist nur eine verkürzte Darstellung.

Zu Aufgabe 4)

Mir ist gerade aufgefallen, dass ich überlesen habe das außer der beschriebenen Kommunikation keine andere Kommunikation zwischen den Netzten erlaubt sein soll.

Das macht natürlich Teile meiner Schlussfolgerungen falsch. Sorry...

Mfg Frank
 
Top