14.11 Einsatzgebiet der Firewall bei ISP´s
Die SINUS Firewall eignet sich besonders zum Schutz und zur Überwachung vor
allem vor TCP/IP Angriffen auf Internet - Server, die in der Vergangenheit immer
wieder für die hohen Ausfallraten verantwortlich waren. Sie bietet Schutz
vor Angriffen auf den TCP/IP Stack und schützt gegen SYN-Flooding Angriffe.
counter intelligence Mechanismen versetzt die Firewall in die Lage, auf Angriffe mit Gegenmaßnahmen zu reagieren, sowohl passiv
als auch proaktiv:
- Passiv: Sperrung von Ports, IP - Nummern, Benachrichtigung des Administrators
- Proaktiv: Starten von "counter intelligence" Programmen, z.B
"traceroute"
auf die IP - Nummer des Angreifers oder automatische Benachrichtigung
des Providers via E-Mail. In einige hartnäckigen Fällen könnte es
notwendig sein, den Angreifer mit einen eigenen Mitteln zu schlagen.
Hierbei kann dann auf ein Reservoir von Angriffs-Toolkits zurückgegriffen
werden, die die Arbeitsstation des Angreifers stillegen. Es sind
alle gängigen Angriffswerkzeuge "teardrop, land......." auf den
TCP/IP-Stack des Angreifers enthalten. Zukünftige Werkzeuge können
nachinstalliert werden.
Gängige Portscanner, mit denen ein Angreifer vor dem eigentlichen Angriff
evtl. das System testet, können erkannt und klassifiziert werden. Erkannt
werden können ISS, SATAN, SAINT....
»stealth scan« z.B kann erkannt und geblockt werden, in einigen Fällen kann das Betriebsystems des
Angreifers identifiziert werden. Diese Maßnahmen erlauben es, nach
einem Portscan auf einen WWW-Server, die Pakete eines Angreifers
auf einen speziellen Dummy-Server umzuleiten, ohne daß dieser davon
etwas bemerkt. Hier kann dann die Signatur eines Angriffs auf der
Festplatte gespeichert werden, um nachträglich die Art und Funktionsweise
analysieren zu können. Durch die flexible Programmiersprache ist
gewährleistet, daß auch in Zukunft neue Arten von Angriffen proaktiv
bekämpft werden können.
Clustering und Load Balancing
- Clustering der Firewall Die SINUS Firewall ist in der Lage, beliebig
mit benachbarten SINUS - Firewalls sowohl »log events« als auch Zustandsinformationen
über dynamische Firewallregeln auszutauschen, und entsprechend zu
verarbeiten. Wichtig wird diese Eigenschaft beim Einsatz zum Schutz
von Hochleistungs - Internetservern, die von einem oder mehreren
Angreifern einem DoS Attack ausgesetzt sind. Die Kommunikation untereinander
erlaubt es, trotz »Beschuß« die Firewall noch für normale Internet-Dienste
offenzuhalten.
- LOAD Balancing Der Einsatz zum Schutz vor Angriffen im Internet erfordert
eine intensive Kontrolle der bis zu einigen Tausend simultanen Verbindungen
verschiedenster Art. Trotz relativ niedriger Bandbreiten im Internet
ist es möglich, daß bei komplexen, dynamischen Firewallregeln auch
eine DEC-ALPHA mit 600 Mhz und bis weit über 1 Gbyte Memory-Bandbreite
ihre Grenzen erreicht. In diesem Falle ist es sinnvoll, »load balancing«
Software und zusätzliche Hardware einzusetzen. Im Allgemeinen reicht aber zur
Absicherung eines 10MBit Netzwerkes ein kleiner Pentium 75 völlig aus.
![[Inhalt]](toc.gif)