D.13 Firewall
Begriff Erklärung
Ping aus dem externen Netzwerk blockieren
Ping ist ein Dienst, der ein ICMP Echo Request Paket an die angegebene
IP-Adresse schickt. Ist der dazugehörige Host online, antwortet er darauf.
Es ist möglich die Antwort auf ein Ping zu unterdrücken. Allerdings kann
man trotzdem herausbekommen, ob der Rechner online ist. Dazu wird ein
ACK-Paket an Port 80 geschickt. Kommt als Antwort ein RST-Paket zurück,
ist der Host online.
Telnet aus dem externen Netzwerk blockieren
Verbindungsversuche von außen per Telnet werden nicht zugelassen.
FTP aus dem externen Netzwerk blockieren
Verbindungsversuche von außen per FTP werden nicht zugelassen.
DNS aus dem externen Netzwerk blockieren
Verbindungsversuche von außen per DNS-Anfrage werden nicht zugelassen.
IKE aus dem externen Netzwerk blockieren
Das Internet Key Exchange (IKE) Protokoll dient der automatischen Schlüs-
selverwaltung für IPsec.
Verbindungsversuche von außen per IKE-Anfrage werden nicht zugelassen.
RIP aus dem externen Netzwerk blockieren
RIP steht für Routing Information Protocol.
RIP arbeitet mit dem Distance Vector Algorithmus (oder auch Bellmann-
Ford-Algorithmus). Es dient dem wiederholtem Austausch von Routing-
Tabellen zwischen Routern eines autonomen Systems per Broadcast. RIP ist
eines der ältesten, einfachsten und weit verbreitesten Routing-Protokolle. Es
besitzt aber eine sehr schlechte Konvergenz (Fähigkeit, erlernte Routen zu
behalten und umzusetzen). Daher bevorzugt man heute modernere Protokolle
wie IGRP und OSPF. Als Internet-Standard ist RIP in STD 34 und den
RFCs 1058 und 1388 definiert.
DHCP aus dem externen Netzwerk blockieren
Verbindungsversuche von außen per DHCP-Anfrage (Anfordern einer IP-
Adresse) werden nicht zugelassen.
ICMP aus dem LAN blockieren
Das Protokoll ICMP wird von der Internet-Protokoll-Ebene (TCP/IP) be-
nutzt, um Steuerinformationen für das Routing (die Wegauswahl) auszutau-
schen. Kann ein ICMP-Paket nicht zugestellt werden, wird dies nicht durch
ein weiteres ICMP-Pakete angezeigt.
Verbindungsversuche von Innen per ICMP-Anfrage werden nicht zugelassen.
Tabelle D.9: Angriffsmethoden
238