Firewall - Teil 2

Angriffe

An das Internet angeschlossene Computer sind einer Vielzahl von Angriffen ausgesetzt, die verschiedene Absichten verfolgen. Manche Angriffe versuchen den Zielrechner zu beschäftigen, daß dieser keinen anderen Aufgaben mehr nachgehen kann, und somit für andere Computer im Netzwerk unerreichbar ist. Andere haben das Ziel, auf dem angegriffenen Computer Lese- und Schreibrechte zu erhalten, um Daten zu stehlen, manipulieren oder zu löschen. Wieder Andere sammeln lediglich Informationen über das Zielsystem, die sich später bei weiteren Angriffen vorteilhaft auswirken können.

In diesem Kapitel sollen Techniken und häufig auftretende, bekannte Angriffe kurz vorgestellt werden.

Spoofing

Beim IP-Spoofing wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält eine falsche Identität. Es gibt keinen verläßlichen Schutz gegen IP-Spoofing. Man kann sich nie sicher sein, ob ein Paket das ist, was es vorgibt zu sein.1

Ein gefälschtes Paket läßt sich dadurch leicht in ein geschütztes lokales Netz einschleusen.

IP-Spoofing wird beispielsweise von Angreifern verwendet werden, um von sich abzulenken, und einem Anderen den Angriff anzulasten.

Außer dem IP-Spoofing gibt es noch weitere Arten von Spoofing, nämlich

DNS- und Web-Spoofing. Auf diese soll jedoch hier nicht näher eingegangen werden.2
 

Source routed traffic

Normalerweise wird der Weg (die Route), die ein IP-Paket zurücklegt, um von Punkt A nach Punkt B zu gelangen, durch die Router zwischen den beiden Endpunkten festgelegt. Das Paket gibt lediglich das gewünschte Ziel vor, nicht welchen Weg es gehen will.

Es ist möglich, Informationen über die Route, die das Paket gehen will, im Paket zu speichern. Die Router werten diese Informationen aus und leiten das Paket entsprechend weiter.

Hiermit lassen sich von einem Angreifer Pakete generieren, die vorgeben aus dem eigenen lokalen Netz (hinter der Firewall) zu stammen. Liegt das Ziel innerhalb des lokalen Netzes wird die Firewall diese Pakete auch dorthin senden. Dem Angreifer wäre es dadurch gelungen, die Firewall zu umgehen.3

Source routed traffic sollte deshalb grundsätzlich nicht zugelassen werden.

Anmerkung: Source routed traffic läßt sich schon auf Kernelebene deaktivieren.4
 

Denial of Service Angriffe5


Denial of Service (DoS) Angriffe binden Systemressourcen des Zielrechners. Dies kann im schlimmsten Fall dazu führen, daß das System nicht mehr erreichbar ist.
DoS Angriffe lassen sich in Floods (binden Bandbreite und nutzen Rechenzeit des Ziels) und Disconnects (verhindern, daß andere Computer den Server erreichen) unterteilen.
 

Flooding

Beim Flooding (Fluten) wird das Ziel mit Unmengen von ICMP- (gewöhnlich) oder auch UDP-Paketen beschossen (überflutet). Die Folgen gehen bis zur Unerreichbarkeit des Ziels, da dieses vollständig mit der Bearbeitung der Pakete ausgelastet ist.

Bsp. Ping Flooding: Das Ziel wird mit Ping-Paketen (ICMP Message Type 8) beschossen und wird damit ausgelastet, die Ping-Pakete mit Echo-Reply-Paketen (ICMP Message Type 0) zu beantworten.

Bsp. Identification Flooding (Inetd): Dieser Angriff ähnelt einem gewöhnlichen ICMP Flood, es werden aber zusätzlich Informationen von TCP Port 113 angefordert. Dieser Angriff verbraucht mehr Rechenzeit als ein gewöhnlicher ICMP Flood, da die Antwort generiert werden muß.6

Bsp. TCP SYN Flooding: Das SYN Flooding macht sich dem gewöhnlichen dreistufigen TCP Verbindungsaufbau zunutze. Das Ziel wird mit gespooften IP-Paketen beschossen, die eine Verbindung zu einem TCP basierten Dienst (z.B HTTP) aufbauen wollen. Es wird ein Paket mit gesetztem SYN Flag gesendet. Das Ziel beantwortet dieses Paket mit einer Nachricht, die SYN- und ACK-Flag gesetzt hat. Da die IP-Adresse gespooft ist, kommt es nie zu einer Antwort mit gesetztem ACK-Flag des Angreifers. Die TCP Verbindung bleibt in Ihrem halb geöffneten Zustand und verbraucht Systemressourcen, bis es zu einem Timeout der Verbindung kommt. Da neue Pakete schneller eintreffen, als alte Verbindungen durch den Timeout beendet werden, sind nach kurzer Zeit sämtliche Ressourcen des Ziels belegt. Es können keine weiteren Verbindungen beantwortet werden. Das Ziel ist damit ausgeschaltet.

Bsp. SMTP Session Hijacking: Hier wird der Mailserver des Ziels mit Mails überflutet, bis dieser für andere Computer nicht mehr erreichbar ist.7
 

Portscanning

Beim Portscanning werden die Ports des Ziels auf vorhandene Dienste geprüft. Dadurch erhält der Angreifer Informationen über mögliche Angriffspunkte auf dem Zielsystem.

Portscans dienen der Informationsgewinnung, verbrauchen aber auch Systemressourcen. Sie sind damit ein weiterer DoS Angriff, wenn auch weniger effizient wie andere DoS Formen. Portscans gehen häufig wirklichen Angriffen voraus.8

Portscans beschränken sich häufig auf einige wenige, ausgesuchte Zielports, auf denen verbreitete Netzwerkdienste laufen. Diese Dienste haben in der Vergangenheit oft Schwachstellen in der Sicherheit aufgezeigt und sind ein idealer Ausgangspunkt für Angriffe.9

Portscanning gilt trotz dieser für die Informationsgewinnung wichtigen Funktion als klassischer DoS Angriff, da eine entsprechende Anzahl an Scans gleichzeitig den Zielrechner blockieren kann.
 

Disconnects

Durch Disconnects wird der Zugriff auf den eigenen Computer oder auf andere Rechner im Netzwerk verhindert.

Bsp. ICMP Destination Unreachable: Bei diesem DoS Angriff wird ein gespooftes Destination-Unreachable-Paket (ICMP Message Type 3) an das Ziel gesendet. Das Ziel erhält die Nachricht, daß der Quellrechner nicht mehr erreichbar ist und beendet alle Verbindungen mit diesem Computer.10
 

Hacks und Exploits11

Ein Hack ist eine Anwendung oder ein Paket, welches Schwächen in einem Betriebssystem, einer Anwendung oder einem Protokoll ausbeutet (engl.: to exploit). Die Folgen reichen vom Absturz des Ziels über Datendiebstahl bis zum vollständigen Datenverlust.

Bsp. Boink: Der Boink Hack ähnelt anderen Hacks, wie Bonk, Teardrop oder New Tear. Durch ungültige Paketfragmente, die nicht mehr korrekt zusammengefügt werden können, wird das Ziel zum Absturz gebracht.

Bsp. Land: Beim Land Hack versucht ein gefälschtes, angeblich vom Ziel stammendes Paket eine Verbindung zum Ziel aufzubauen. Das Ziel versucht mit sich selber eine Verbindung aufzubauen und stürzt ab.

Bsp. Jolt: Jolt, auch als SSping und IceNuke bekannt. Ein übergroßes, fragmentiertes Paket wird an das Ziel gesandt. Das Ziel stellt seine Arbeit ein und muß neu gestartet werden.

Bsp. Winnuke: Winnuke nutzt einen Fehler im TCP/IP Stack der bekannten Windows Versionen (Win3.x, Win9x, WinNT 3.51, WinNT 4) aus. Spezielle Daten (out of bound data) werden an TCP Port 139 des Ziels geschickt. Als Folge davon stürzt das TCP/IP Protokoll ab und der Computer muß neu gebootet werden, will man die Funktionalität des Protokolls wieder herstellen.
 

Umsetzung unter Linux

In diesem Kapitel wird die Firewall aufgesetzt. Zu Beginn werden Hard- und Softwarevoraussetzungen genannt, dann die grundlegende Funktionsweise einer Firewall beschrieben. Anschließend werden an Hand eines konkreten Beispiels einige Firewallregeln beschrieben.

Warum Linux ?12

Gründe für den Einsatz von Linux als Firewall:
 
 

Hardwarevoraussetzungen18

Linux ist, verglichen mit anderen Betriebssystemen, weitaus weniger anspruchsvoll was die verwendete Hardware angeht. Da auf der Linux Firewall außerdem auf eine grafische Benutzeroberfläche verzichtet werden kann, halten sich die Hardwareanforderungen sehr in Grenzen. IP Filtering an sich erfordert kaum Rechenzeit. Ein Pentium 60 mit 32 MB Hauptspeicher ist mehr als ausreichend. Die Kapazität der Festplatte des Firewallrechners sollte zwischen einem und zwei Gigabyte liegen, um ausreichend Platz für die Logfiles zu bieten. Besteht kein Interesse am mitloggen einzelner Aktionen reichen 500MB Festplattenkapazität aus. Eine Netzwerkkarte stellt die Verbindung an das interne Netz her. Zusätzlich benötigt man, je nach Anschluß an das Internet ein Modem, eine ISDN-Karte oder eine zweite Netzwerkkarte, die an den Router führt.

Siehe folgende Grafiken:


Abbildung 1 , Anbindung per Modem/ISDN

Ist die Firewall per Modem oder ISDN-Leitung an das Internet angeschlossen, genügt eine Netzwerkkarte (NIC - Network Interface Card) für die Anbindung an das lokale Netz.


Abbildung 2, Anbindung per Kabelmodem, Router oder DSL

Bei Einsatz eines Kabelmodems, eines DSL Routers oder eines vergleichbaren Anschlusses an das Internet, ist die Firewall mit zwei Netzwerkkarten auszustatten. Eine für den Anschluß an das Modem oder den Router und Eine für die Verbindung zum lokalen Netz.
 

Softwarevoraussetzungen

 

Kernel19

Der Linux-Kernel ist der innerste Teil des Betriebssystems. Er stellt ganz elementare Funktionen wie Speicherverwaltung, Prozeßverwaltung und Steuerung der Hardware zur Verfügung. In ihn integriert sind auch die Firewallfunktionen. Der Kernel ist je nach verwendeter Linux Distribution unterschiedlich konfiguriert. Sollten die FW Funktionalität noch nicht integriert sein, muß ein neuer Kernel kompiliert werden. Die einzelnen Optionen haben in den verschiedenen Kernelversionen mitunter leicht unterschiedliche Namen und ihre Anzahl variiert. Das folgende Beispiel bezieht sich auf die Kernelversion 2.2.16.

Zu aktivieren sind:
 


Aktiviert die allgemeine Netzwerkunterstützung.
 


Aktiviert die im Kernel integrierten Firewallfunktionen.
 


Unterstützung für das TCP/IP-Protokol.
 


Bindet Kernelcode ein, der SYN Flooding Angriffe20 abblockt. Der Code muß bei jedem Rechnerstart mit "echo 1 > /proc/sys/net/ipv4/tcp_syncookies" aktiviert werden.
 


Aktiviert den NAT Support im Kernel.

In älteren Versionen des Kernels treten folgende Optionen auf, die zusätzlich zu aktivieren sind:
 


Source routed traffic21 wird durch Aktivierung dieser Kerneloption automatisch geblockt.
 


Defragmentierung von IP-Paketen aktivieren.
 


Routingfähigkeiten aktivieren.
 


Logging- und Überwachungsfunktionen.


Abbildung 3, Kerneloptionen der Firewall Teil 1


Abbildung 4, Kerneloptionen der Firewall Teil 2
 

Ipchains

Ipchains ist die Benutzerschnittstelle zum Paketfilter der Firewall. Es ist in jeder aktuellen Linuxdistribution enthalten.22

Ipchains löst im neuen 2.2er Kernel das Tool ipfwadm ab, welches in Kerneln < 2.2 die Schnittstelle bildete. Bei ipchains handelt es sich um eine komplette Neuimplementierung des Linux Ipv4 Firewall Codes und somit auch um eine Neuimplementierung von ipfwadm.

Es gibt zahlreiche Wrapperprogramme, die alte ipfwadm Regeln in neuen ipchains Code umsetzen.23

Es sei noch angemerkt, daß im in der Entwicklung befindlichen Kernel 2.4 eine weitere neue Schnittstelle Einzug finden wird: netfilter/iptables.24 Der neue Kernel wird voraussichtlich im dritten Quartal 2000 veröffentlicht.
 

Verbesserungen im Kernel 2.225

Der Kernel hat beim Versionswechsel von 2.0 zu 2.2 einige Änderungen erfahren. Der Paketfilter- und Routing Code wurden neu geschrieben. Dadurch hat sich die Liste der Linux Fähigkeiten erweitert.

Die für eine Firewall wichtigen Verbesserungen des Kernels 2.2 gegenüber 2.0 im Einzelnen :
 


Diese neue Funktion kann beispielsweise dazu genutzt werden, einzelne Clientgruppen über verschiedene Provider ins Internet gehen zu lassen. Beispielsweise werden alle Clients mit der Adresse192.168.1.x durch einen ISDN-Router mit dem Internet verbunden, während Clients mit der Quelladresse 192.168.2.x die Verbindung über ein Modem aufbauen.
 


Auf einem bestimmten Port eingehende Pakete werden an einen beliebigen Rechner und Port weitergeleitet. Damit lassen sich z.B. transparente Proxies realisieren: Alle aus dem lokalen Netz auf Port 80 ankommenden Pakete gehen an Port 3128 der Firewall, auf dem ein Proxyserver, z.B. Squid, installiert ist.26
 


Ein Vorteil eines transparenten Proxies ist, daß er für die Benutzer nicht "sichtbar" ist. Sie müssen deshalb auch keine Einstellungen im Browser vornehmen.
 


Unterstützung weiterer Netzwerktypen
 


Prioritätenvergabe an IP-Pakete
 


Unterstützung des zukünftigen Internet Protokolls (Version 6)
 


 


Die Zähler der IP Filter sind jetzt 64bit breit.
 


 

Grundlegende Funktionsweise einer Paketfilter-Firewall

Das Grundprinzip einer Paketfilter-Firewall ist die Überprüfung des gesamten IP-Datenverkehrs. Grundlage einer Paketfilter-Firewall sind accept und deny Regeln. Diese Regeln stellen ausdrücklich fest, welche Pakete auf einem bestimmten Netzwerkinterface erlaubt sind und welche nicht.

Die Regeln greifen auf die Informationen im Header des Pakets zurück, um zu entscheiden, ob das Paket ans Ziel weitergeleitet (accept), einfach verworfen (deny) oder abgelehnt und eine Fehlermeldung an den sendenden Computer zurückgeschickt wird (reject).

Folgende Informationen stehen einer Paketfilter-Firewall zur Verfügung:28

Die Firewall regelt den ein- und ausgehenden Datenverkehr und zusätzlich auch noch den Verkehr zwischen den verschiedenen Netzwerkschnittstellen des Firewallrechners. Die Regeln für eingehende Daten können sich komplett von denen für ausgehende Daten unterscheiden.

Die Gesamtheit aller Regeln einer Regelliste wird chain (engl. für Kette) genannt. Die einzelnen Regeln entsprechen den Gliedern der Kette. Jedes Paket wird der Reihenfolge nach mit jeder Regel verglichen, bis eine Übereinstimmung gefunden wird oder die chain zu Ende ist.

Default Policy29

Jede chain hat eine default policy. Wenn ein Paket mit keiner der Regeln in der chain übereinstimmt oder die chain zu Ende ist, tritt die default policy in Kraft.

Es gibt zwei grundlegende Vorgehensweisen beim Aufstellen einer default policy:

Alles abzulehnen und einzelne Regeln für Dienste aufzustellen, die angenommen werden sollen (deny everything by default).

oder

Alles zu akzeptieren und einzelne Regeln für Pakete aufzustellen, die abgelehnt werden sollen (accept everything by default)

Die Letztere ist die empfehlenswertere Methode. Sie garantiert eine sichere Firewall, da jeder Dienst, der nicht ausdrücklich erlaubt ist, abgelehnt wird. Allerdings ist diese Methode mit viel Arbeitsaufwand verbunden, da jeder Dienst, der benutzt werden will, auch aktiviert werden muß. Dies verlangt einiges an Hintergrundwissen über die einzelnen Dienste und deren Protokolle. Eine deny everything by default Firewall ist somit schwerer zu realisieren.

Eine accept everything by default Firewall ist sehr viel leichter aufzusetzen, da sämtliche Dienste erlaubt sind, solange sie nicht ausdrücklich durch Regeln verboten sind. Verdächtige oder gefährliche Dienste müssen also gesperrt werden. Die Gefahr besteht darin, daß gefährliche Dienste nicht oder zu spät als solche erkannt werden, und dadurch große Sicherheitslücken in der Firewall bestehen. Mit dieser Methode ist es sehr viel schwerer eine sichere Firewall zu betreiben.
 

Regeln aufstellen mit ipchains

Ipchains dient zur Formulierung der Regeln für die Firewall. Mit jedem Aufruf von ipchains wird eine Regel erstellt.
 

Eigenschaften der Pakete

Die Regel enthält die Eigenschaften eines IP-Pakets und die Aktion, die ausgeführt wird, wenn das Paket die angegebenen Eigenschaften erfüllt.

Eigenschaften der IP-Pakete:


 

Aktionen des Paketfilters30

Die einzelnen Eigenschaften lassen sich beliebig kombinieren. So ist es möglich allgemeinere Regeln aufzustellen oder durch Zugabe weiterer Eigenschaften die Regel zu verfeinern. Eine Negation einzelner Eigenschaften innerhalb einer Regel ist ebenfalls möglich.31

Die möglichen Aktionen der Regeln:
 


Das Paket wird angenommen und normal weiterverarbeitet.
 


Das Paket wird abgelehnt und verworfen.
 


Das Paket wird abgelehnt und zusätzlich wird ein ICMP-Paket des Typs 3 (destination unreachable) an den Absender gesendet.


Das Paket wird auf einen beliebigen Computer auf einen anderen Port umgeleitet, um dort verarbeitet zu werden. Beispielsweise lassen sich alle eingehenden Pakete auf Port 80 aus dem Internet an einen beliebigen Port weiterleiten, auf dem ein Webserver läuft.
 


Die IP-Adresse des Pakets wird mit der IP-Adresse des Firewallrechners ersetzt. Das Paket scheint nun von der Firewall selber zu kommen. Diese Aktion wird für ausgehende Pakete des lokalen Netzes genutzt, um deren private IP-Adressen in eine gültige IP-Adresse umzuwandeln.32
 

Regellisten33

Eine Regel wird durch Eigenschaften und Aktion definiert. Die aufgestellten Regeln werden in Regellisten zusammengefaßt. Standardmäßig gibt es drei dieser Regellisten (chains):
 


Die Inputliste gilt für eingehende Pakete
 


Die Outputliste ist für ausgehende Pakete
 


Die Forwardliste ist für Pakete, die von einem Netzwerkinterface zu einem anderen weitergeleitet werden. Pakete des lokalen Netzes, die in das Internet wollen, passieren diese Liste.

Die Regeln einer Liste werden der Reihe nach von oben nach unten abgearbeitet. Die erste Regel, die eine Übereinstimmung liefert, wird ausgeführt. Spezielle Regeln müssen deshalb unbedingt vor Allgemeineren stehen.

Zusätzlich zu diesen drei Standardregellisten besteht die Möglichkeit, eigene, benutzerdefinierte Regellisten zu erstellen. Beispielsweise können alle eingehenden Pakete des Typs TCP an die Regelliste "tcp" gehen, in der alle Regeln für TCP Pakete definiert sind. In der input Regelliste steht dann nur eine Regel, die TCP Pakete an die speziell eingerichtete tcp-Liste weiterleitet. Dadurch läßt sich das Firewallskript besser gliedern und übersichtlicher gestalten.34
 

Ipchains Befehle35

Die wichtigsten Befehle von ipchains:
 
Befehl Kurzbezeichnung Parameter Beschreibung
--add -A <name der regellsite> Hängt die Regel an die Regelliste an
--delete -D <n d r> <position/regel> Löscht die Regel aus der Regelliste. Es muß entweder die Position der Regel oder die Regel selber angegeben werden
--insert -I <n d r> <position> <regel> Fügt die Regel an der angegebenen Position an
--replace -R <n d r> <position> <regel> Ersetzt die Regel an der angegebenen Position durch die neue Regel
--list -L [ <n d r> ] Zeigt alle Regellisten oder die Regelliste mit all ihren Regeln an
--flush -F [ <n d r> ] Löscht alle Regellisten oder alle Regeln in der angegebenen Liste
--check -C <n d r> Testet die Reaktion der Regellsite auf dieses Paket
--new -N <n d r> Legt eine neue nicht-standard Regelliste an
--delete -X <n d r> Löscht eine leere(!) nicht-standard Regelliste.
--policy -P <n d r> <accept/ reject/ deny> Legt die Default Policy für die angegebene Regelliste fest.
-masquerade -M -L Gibt Liste aktuell maskierter Verbindungen aus

 

Ipchains Optionen36

Die wichtigsten Optionen von ipchains:
 
Option Kurzbezeichnung Parameter Beschreibung
--bidirectional -b Erstellt automatisch eine Regel, für die entgegengesetzte Richtung, bei der die Quell- und Zieladresse vertauscht sind, um den Pakettransfer in beide Richtungen zu erlauben
--proto -p [!] <protokoll> Protokolltyp des Pakets, wie tcp,udp, icmp
--source -s [!] <address>[/<mask>] [!] [<port>[:<port>]] Spezifiziert die Quelladresse und optional den Quellport des Pakets
--source-port [!][<port>[:<port>]] Spezifiziert den Quellport des Pakets, sollte die Angabe -s in der Regel fehlen
--destination -d [!] <address>[/<mask>] [!] [<port>[:<port>]] Spezifiziert die Zieladresse und optional den Zielport
--destination-port [!][<port>[:<port>]] Spezifiziert den Zielport, sollte die Angabe -d in der Regel fehlen
--icmp-type [!] <typ> Festlegung des ICMP Typs. Entweder als Nummer oder Bezeichnung

 
 
 
--interface -i [!] <Netzwerkschnittstelle> [+] Legt die Netzwerkschnitt-stelle fest. Ein "+" steht für alle Schnittstellen des Typs
--numeric -n Gibt die Nummern von IP-Adressen und Ports aus
--log -l Das Paket wird in /var/log/messages mitprotokolliert
--verbose -v Erzeugt eine detailliertere Ausgabe
--exact -x Anzeige der Paket und Bytezähler
[!] -syn [!] -y Bezeichnet Pakete, bei denen das SYN-Flag gesetzt ist, also Pakete, die einen Verbindungsaufbau einleiten wollen

Hinweise zu den Tabellen:

Durch "!" wird die jeweilige Option negiert.

Beispielsweise steht "! -d 134.127.13.3" für alle Zieladressen außer 134.127.13.3

IP-Adressen und Subnetze lassen sich entweder in der Form 192.168.0.0/255.255.255.0 oder in der Form 192.168.0.0/24 angeben.

Durch ":" können nicht nur einzelne Ports, sondern ganze Bereiche angeben. "0:443" z.B. steht für alle Ports von 0 bis 443.
 

Paketlauf

Die Abbildung auf der folgenden Seite zeigt den Weg, den ein Paket durch den Kernel gehen muß.37
Abbildung 5, Paketdurchlauf durch den Kernel
 
 

Verweise im Text

1 Vgl. Anonymous. Maximum Linux Security, S.272f
2 Weitere Informationen finden sich unter:
   DNS-Spoofing: http://www.auhof.asn-linz.ac.at/dely82/themen/dns_spoofing.htm
   Web-Spoofing: http://www.intern.de/97/01/02.htm
3 Vgl. Stähle, Samuel. Firewalling unter Linux, S.3 und Ziegler, Robert. Linux Firewalls, S.37
4 Siehe Kapitel 1.3.1 - Kernel
5 Vgl. Ziegler, Robert. Linux Firewalls, S.34f
6 Vgl. Conceal Firewall Homepage: http://www.candc1.com/conseal/attack.htm
7 Stähle, Samuel. Firewalling unter Linux, S.5
8 Vgl. Ziegler, Robert. Linux Firewalls, S.30f
9 Vgl. Ziegler, Robert. Linux Firewalls, S.266f
10 Vgl. Conceal Firewall Homepage: http://www.candc1.com/conseal/attack.htm
11 Vgl. Conceal Firewall Homepage: http://www.candc1.com/conseal/attack.htm
12 Vgl. Bernard, Frank. Brandschutz 2.2, S.86f
13 Eine hervorragende Sammlung von Linux Software findet sich unter http://www.freshmeat.net
14 Vgl. Schmidt, Jürgen, Dasein oder Nicht-Sein, S.174f
15 Unter http://www.linhardware.com befindet sich eine Liste mit zu Linux kompatibler Hardware.
16 Das Linux Documentation Project hat sich die Erstellung einer umfangreichen und freien Dokumentation zu Linux zum Ziel gemacht. Zu finden ist das LDP unter http://www.linuxdoc.org
17 Die GPL ist ein Lizenzvertrag der Free Software Foundation. Mehr nformationen über die FSF und der GPL finden sich unter http://www.gnu.org
18 Vgl. Grennan, Mark. Firewall and Proxy Server HOWTO, S.10
19 Umfangreiche Informationen zum Linux Kernel, sowie Downloadmöglichkeiten finden sich auf der Kernelhomepage unter http://www.kernel.org
20 Siehe Kapitel 3.3.1 - Flooding
21 Siehe Kapitel 3.2 - Source routed traffic
22 Weitere Informationen zu ipchains, sowie eine Downloadmöglichkeit finden sich auf der ipchains Homepage unter http://netfilter.filewatcher.org/ipchains
23 Eines dieser Wrapperprogramme ist ebenfalls unter http://netfilter.filewatcher.org/ipchains zu finden.
24 Weitere Informationen zu netfilter/iptables finden sich unter http://netfilter.filewatcher.org
25 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
26 Siehe Kapitel 2.7 - Port Mapping
27 Siehe Kapitel 2.4 - Quality of Service
28 Vgl. Stähle, Samuel. Firewalling unter Linux, S.8
29 Ziegler, Robert. Linux Firewalls, S.23
30 Stähle, Samuel. Firewalling unter Linux, S.8
31 Siehe Kapitel 4.7.5 - ipchains Optionen
32 Siehe Kapitel 2.5 - NAT
33 Vgl.Stähle, Samuel. Firewalling unter Linux, S.8
34 Vgl.Emmrich, Henning. Netzwerk in Ketten. S.194f
35 Stähle, Samuel. Firewalling unter Linux, S.9f
36 Stähle, Samuel. Firewalling unter Linux, S.10f
37 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
 
 
 
Feedback ist wichtig für die Verbesserung des Service
Autor: Felix Mack
Datum: 04. Dezember 2000 - Pro-Linux.de