Site search Web search

powered by FreeFind
Visit my Guestbook

Privacy now! PGP

Freedom for Links
Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

14.11 Einsatzgebiet der Firewall bei ISP´s

Die SINUS Firewall eignet sich besonders zum Schutz und zur Überwachung vor allem vor TCP/IP Angriffen auf Internet - Server, die in der Vergangenheit immer wieder für die hohen Ausfallraten verantwortlich waren. Sie bietet Schutz vor Angriffen auf den TCP/IP Stack und schützt gegen SYN-Flooding Angriffe. counter intelligence Mechanismen versetzt die Firewall in die Lage, auf Angriffe mit Gegenmaßnahmen zu reagieren, sowohl passiv als auch proaktiv:

  • Passiv: Sperrung von Ports, IP - Nummern, Benachrichtigung des Administrators

  • Proaktiv: Starten von "counter intelligence" Programmen, z.B "traceroute" auf die IP - Nummer des Angreifers oder automatische Benachrichtigung des Providers via E-Mail. In einige hartnäckigen Fällen könnte es notwendig sein, den Angreifer mit einen eigenen Mitteln zu schlagen. Hierbei kann dann auf ein Reservoir von Angriffs-Toolkits zurückgegriffen werden, die die Arbeitsstation des Angreifers stillegen. Es sind alle gängigen Angriffswerkzeuge "teardrop, land......." auf den TCP/IP-Stack des Angreifers enthalten. Zukünftige Werkzeuge können nachinstalliert werden.

Gängige Portscanner, mit denen ein Angreifer vor dem eigentlichen Angriff evtl. das System testet, können erkannt und klassifiziert werden. Erkannt werden können ISS, SATAN, SAINT....

»stealth scan« z.B kann erkannt und geblockt werden, in einigen Fällen kann das Betriebsystems des Angreifers identifiziert werden. Diese Maßnahmen erlauben es, nach einem Portscan auf einen WWW-Server, die Pakete eines Angreifers auf einen speziellen Dummy-Server umzuleiten, ohne daß dieser davon etwas bemerkt. Hier kann dann die Signatur eines Angriffs auf der Festplatte gespeichert werden, um nachträglich die Art und Funktionsweise analysieren zu können. Durch die flexible Programmiersprache ist gewährleistet, daß auch in Zukunft neue Arten von Angriffen proaktiv bekämpft werden können.

Clustering und Load Balancing

  • Clustering der Firewall Die SINUS Firewall ist in der Lage, beliebig mit benachbarten SINUS - Firewalls sowohl »log events« als auch Zustandsinformationen über dynamische Firewallregeln auszutauschen, und entsprechend zu verarbeiten. Wichtig wird diese Eigenschaft beim Einsatz zum Schutz von Hochleistungs - Internetservern, die von einem oder mehreren Angreifern einem DoS Attack ausgesetzt sind. Die Kommunikation untereinander erlaubt es, trotz »Beschuß« die Firewall noch für normale Internet-Dienste offenzuhalten.

  • LOAD Balancing Der Einsatz zum Schutz vor Angriffen im Internet erfordert eine intensive Kontrolle der bis zu einigen Tausend simultanen Verbindungen verschiedenster Art. Trotz relativ niedriger Bandbreiten im Internet ist es möglich, daß bei komplexen, dynamischen Firewallregeln auch eine DEC-ALPHA mit 600 Mhz und bis weit über 1 Gbyte Memory-Bandbreite ihre Grenzen erreicht. In diesem Falle ist es sinnvoll, »load balancing« Software und zusätzliche Hardware einzusetzen. Im Allgemeinen reicht aber zur Absicherung eines 10MBit Netzwerkes ein kleiner Pentium 75 völlig aus.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING