Die Ausgaben 0.1.1 bis einschließlich 1.2 von IPCop sind nicht stateful, da diese auf IPChains-Technologie basieren. Version 1.3 benutzt IPTables und ist daher eine komplett stateful Firewall.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangIPChains und IPTables sind die grundlegenden "Interna", anhand deren IPCop entscheidet, welcher Verkehr erlaubt ist.
Die Versionen 1.2.0 und niedriger von IPCop benutzen IPChains. Versionen 1.3.x und höher benutzen IPTables.
Sie werden niemals beide gleichzeitig benutzen.
IPChains und IPTables erlauben es IPCop in jedem Fall, Regeln zu generieren, welche Arten von TCP/IP Verkehr von der Firewall durchgelassen werden. Einiges an Verkehr muss erlaubt sein, damit man auch etwas vernünftiges tun kann (z.B. Email oder Webseiten anzeigen).
IPCop startet mit den strengstmöglichen Regeln, die den meisten Benutzern die üblichen, "normalen" Tätigkeiten erlauben.
Sie müssen die Regeln für den Datenverkehr möglicherweise etwas "freizügiger" definieren, um einige Aufgaben wie das Spielen von Online-Spielen, die Benutzung von Messenging-Software oder Videokonferenzen zu ermöglichen.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
Sie sollten sich täglich die Log-Dateien ansehen, insbesondere das Firewall- und das IDS-Log. Sehen Sie sich die Rubrik "Logging" dieser FAQ an, um zu verstehen, was die Log-Einträge bedeuten.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangEinige Web-Seiten "da draußen" erlauben es, die IP-Adresse einzugeben, damit anschließend die Firewall "gescannt" wird, um zu sehen, ob diese funktioniert. Obwohl dies eine recht gute Idee zu sein scheint, bedenken Sie folgendes: Sie wissen nicht, wer diese Seite tatsächlich betreibt. Sie wissen nicht, ob diese Seite evtl. gehackt wurde, und Sie Ihre IP-Adresse einem Bösewicht überreichen. In der Theorie stoppt IPCop jedes Problem von diesen Seiten. Aber es ist in Wirklichkeit nicht ganz so nützlich, diese Dienste zu benutzen und Sie können Software auf einem externen Server benutzen, den SIE kontrollieren oder jemandem dem Sie trauen bitten, Ihre Firewall zu scannen. Außerdem machen viele dieser Web-Seiten nicht den guten Job, den sie angeblich tun.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangLeakTest von http://grc.com führt einen etwas in die Irre. Es ist nicht dafür gedacht, eine dedizierte Firewall wie IPCop zu testen. Warum?
Die ursprüngliche Version von LeakTest arbeitete mit der Vorgabe: "eine FTP-Client Anwendung zu sein, die versucht sich auf Port 21 (FTP) auf einen unserer Server innerhalb der grc.com Domäne zu verbinden".
Darüberhinaus:
"LeakTest v1.0 wird benutzt, indem man es UMBENENNT - von Leaktest.exe in einen anderen Programmnamen - um das Verhalten von Schadprogrammen zu simulieren, die sich einfach selbst umbenennen können um so zu tun, als seien sie eine gültige und erlaubte Anwendung."
Obwohl dies einen berechtigten Test der Funktionalität einer Personal Firewall auf einem Client-PC darstellt, hat es keinerlei Relevanz für eine dedizierte Firewall. IPCop blockt Dienste und keine Einzelanwendungen, die sich mit dem Internet verbinden. Das aufspüren schädlicher Trojaner usw. ist der Job eines guten Virenscanners.
Anders ausgedrückt: LeakTest überprüft, was passiert wenn ein Benutzer (nicht Sie natürlich) dumm genug ist, alle Warnungen ignorierend, eine ausführbare Datei aus einem Email-Anhang zu starten. IPCop wurde nicht entwickelt, um Sicherheitsgefährdungen dieser Art aufzuhalten. Die Schulung/Sensibilisierung der Benutzer und ein aktueller Virenscanner ist Ihre einzige Chance so etwas zu verhindern.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangDies ist für Version 1.2.0 und darunter normal. Die meisten Dienste laufen auf Port 1023 und darunter. Das Blocken der Ports oberhalb 1024 ist normalerweise nicht notwendig, da es sonst evtl. zu Störungen von originalem Datenverkehr kommen könnte. Wie auch immer, seit Version 1.3.x erlaubt stateful firewalling das standardmäßige Schließen dieser Ports, ohne den originalen Datenverkehr zu beeinflusssen.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangIPCop beinhaltet ein Intrusion Detection System (IDS) namens Snort. Ein IDS ist ein wichtiger Teil einer Netzwerk-Sicherheits-Struktur. Sie stellt eine zweite Verteidigungslinie nach der Firewall dar. Ein IDS untersucht Netzwerkverkehr auf Paketebene nach verdächtigen Mustern, welche eventuell einen Angriff oder Einbruchsversuch in Ihr Netzwerk anzeigen. Diese Muster werden durch einen Regelsatz bestimmt. Immer wenn das IDS ein Muster entdeckt, das mit einer Regel übereinstimmt, wird ein Eintrag in das IDS-Log vorgenommen. Beachten Sie, daß ein solcher Eintrag nicht unbedingt eine Kompromittierung des Systems bedeuten muß (siehe auch den Bereich "Ich habe Einträge in meinen Logdateien..." in diesen FAQ). Ein IDS blockt keinen Datenverkehr, sondern es alarmiert lediglich den Administrator, wenn vermeintlich "feindlicher" Datenverkehr entdeckt wird.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangDie Web-Oberfläche erlaubt es, den IDS Regelsatz basierend auf der verwendeten Snort-Version zu aktualisieren.
[ ] 1.1 [ ]1.2 [x]1.3 [x]1.4 Alle Versionen
zurück zum AnfangDie Regeln für das IDS-Reporting liegen in "/etc/snort". Sie können diese Regelnn in einem Editor öffnen und jede Regel, die Sie nicht geloggt haben wollen oder die angepasst werden soll, auskommentieren bzw. anpassen.
Beispielsweise loggt Snort...
MISC Large ICMP Packet
... jedesmal, wenn ich Mail abrufe.
In diesem Fall befindet sich die Regel in "/etc/snort/misc.rules" und ist die erste Regel. Statt sie auszukommentieren, habe ich den Grenzwert um 700 Byte von 800 auf 1500 erhöht und die Regeldatei wieder gespeichert. Nach dem Anpassen der IDS-Regeln habe ich das IDS angehalten und wieder gestartet, damit die neuen Regeln greifen.
Ein anderes Problem das ich habe ist, daß Snort mich bei IRC-Paketen warnt.
INFO Possible IRC access
Ich habe kein Problem mit IRC-Paketen auf meinem Netzwerk, da ich sehr oft den IRC nutze,
deshalb habe ich die IRC-Warnungen allesamt in "/etc/snort/policy.rules" ausgeschaltet, indem
ich diese mit einem "#" am Anfang der Zeile auskommentiert habe.
Vergessen Sie nicht, Snort anzuhalten und neu zu starten, nachdem Sie die Regeln geändert haben.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangJa, aber momentan erfordert dies eine manuelle Anpassung der Firewall Regeltabelle.
Wenn Sie sich mit Linux Firewall-Regeln auskennen, finden Sie die Regeln des IPCop in "/etc/rc.d/rc.firewall.up".
Natürlich kann manuelles Anpassen der Firewall-Regeln diese zerstören, bzw. unbrauchbar machen. Sollte das passieren, müssen Sie beide Teile haben.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangDrahtlose Netzwerkverbindungen sind nur so sicher wie Sie sie machen. Dies beinhaltet viele Aspekte (lesen Sie diese FAQ um einen besseren Überblick über das Problem und einige Lösungsvorschläge zu bekommen), wie zum Beispiel den Typ der Authentifizierung und die Nutzung einer Firewall. Version 0.2 von IPCop beinhaltet Amber Zone (Drahtlose DMZ), die unter anderem CIPE, IPSec oder VPNd verschlüsselte Verbindungen unterstützt.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangEs sind Tools wie AirSnort entwickelt worden, die die Fähigkeit haben, den drahtlosen Datenverkehr passiv auszuspähen und Ihren WEP-Schlüssel zu ermitteln. Viele Anbieter drahtloser Lösungen erweitern entweder WEP um mehr Robustheit zu erreichen oder entwickeln alternative Lösungen. Lesen Sie Wie sicher ist Funkübertragung (WLAN) für weitere Informationen.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum AnfangDies gilt nur für IPCop-Versionen vor 1.3.
Ja, es gibt einen Grund. Da die Firewall nicht stateful ist, haben UDP-Pakete nicht die selben "Antworten" wie TCP-Pakete. IPCop 1.3 und höher benutzen einen 2.4er Kernel, um dieses Fähigkeit zu nutzen.
Wenn eine Version von IPCop 1.2 oder früher benutzt wird und die Firewall für "Antworten" von UDP-Paketanfragen offen ist, ist sie offen für alle. Als die Grundstruktur für DMZ Pinholes usw. erstellt wurde, wurde entdeckt, daß Portscans durch die Firewall kamen, die nmap -sU benutzten und dann feststellen, auf welchen Maschinen welche UDP-Dienste liefen. Dies führte dazu, daß UDP-Antworten von Orange nach Grün abgeblockt werden.
[x] 1.1 [x]1.2 [x]1.3 Alle Versionen
zurück zum Anfang