Versuch III: Dynamische Paketfilterung mit Netfilter

Netfilter/iptables bietet mit dem Modul ip_state die Möglichkeit des "connection tracking" (stateful inspection). Hiermit werden die Zustände aller Kommunikationsverbindungen, welche durch die Firewall aktiv bestehen, mitverfolgt und es kann entsprechend darauf reagiert werden. Dies geschieht in der Datei /proc/net/ip_conntrack und funktioniert auch mit zustandslosen Verbindungen wie bei UDP oder ICMP. Verifizieren Sie dies, indem Sie sich diese Datei während eines laufenden Pings anzeigen lassen. Falls keine Verbindung angezeigt wurde, führen Sie einen Ping an eine nicht existierende Adresse durch, um eine noch nicht beendete Verbindung zu erhalten. Wiederholen Sie dies später, wenn weitere Verbindungen möglich sind.

1. Wie schon erwähnt, sollten auf einem reinen Paketfilter eigentlich keine Dienste laufen. Evtl. ist es aber manchmal nötig, die Firewall aus der Ferne zu administrieren. Richten Sie zu diesem Zweck eine Regel ein, die es erlaubt, aus dem internen Netz mittels SSH auf den Paketfilter zuzugreifen. Machen Sie dabei so viele Einschränkungen wie möglich und achten sie darauf, dass weder vom externen Netz, noch vom Firewall Rechner selber SSH Verbindungen in das interne Netz zulässig sind.
2. Nun wird es Zeit, dass wir den Zugriff aus dem inneren Netz auf das äußere erlauben. Schreiben Sie eine einfache Regel, die alle TCP/UDP Verbindungen aus dem internen Netz und die zugehörigen Rückverbindungen ins Netz zulässt. Beachten Sie den korrekten Aufbau einer neuen TCP Verbindung (siehe Theorieaufgabe). Sorgen Sie dafür, dass nur solche Pakete eine neue TCP Verbindung aufbauen dürfen und alle "nicht korrekten" TCP Verbindungsversuche verworfen werden.
3. Die vorhergegangene Regel geht natürlich davon aus, dass sich die Benutzer einigermaßen vernünftig verhalten und keine unerlaubte Software ausführen. Hier ist zum einen bösartiger Code zu nennen, der sowohl von internen Rechnern Angriffe auf andere Netze ausführen kann, als auch Verbindungen zu fremden Rechnern öffnet und interne Daten verschicken kann. Zum anderen sind hier aber auch file sharing Programme zu nennen, deren Verwendung wahrscheinlich untersagt wurde.
   Schränken Sie deswegen jetzt den Zugang zum äußeren Netz auf WWW (http, https) und EMail (pop3, smtp) Dienste ein. Falls gewünscht können natürlich auch noch weitere Dienste wie in /etc/services beschrieben verwendet werden. Vergessen Sie nicht die Namensauflösung zu erlauben, da ohne sie ein normales Arbeiten kaum möglich ist.

.