![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Wer sich dieses Handbuch durchliest, und noch keinen Horror hat, der mag sich vielleicht mit dieser unkonventionellen, aber sicheren Firewall anfreunden, die garantierte Sicherheit bietet. Ich m�chte Sie einfach einmal mit Graphical Firewall bezeichnen.
Der Aufbau ist folgender:
I N T E R N E T
^
|
Router
|
| Transfernetz
|
|
| LINUX GRAPHICAL WALL
| MAIL/Netscape/VNC
Firewall 1 |
| |
<---+---------------+---Firewall 2 -->lokales Netz (VNC Clients)
Beispiel LINUX GRAPHICAL WALL
Die Idee dahinter liegt darin, nur Informationen von Bildschirm und Mouse �ber die Firewall zu �bertragen, w�hrend die gef�hrdeten Applikationen auf der LINUX GRAPHICAL WALL laufen, z.B. Netscape. Hierzu werden auf dem LINUX Server VNC-Server installiert. VNC ist absolut vergleichbar mit PC ANYWHERE, jedoch v�llig kostenlos und im Quellcode verf�gbar.
F�r jede Arbeitsstation wird ein VNC-Server auf den Ports 6000 auf LINUX installiert. F�r jeden User mu� ein eigener VNC-Server auf LINUX installiert werden. Hierzu werden Ports von 6000 an aufw�rts verwendet.
Auf den Arbeitsstationen wird ein JAVA VNC Client installiert, der die virtuelle X-Windows Oberfl�che von LINUX grafisch auf die Arbeitsstationen �bertr�gt. Informationen von Maus und Tastatur werden von den Arbeitsstationen auf die VNC-Server �bertragen. Jeder Arbeitstation wird dann ein eigener VNC-Server zugeordnet.
Da alle Anwendungen ja auf der LINUX Maschine laufen, kann ein Angreifer h�chstens in diesen Server eindringen. �ber die Firewall-2 kommt er nicht hinweg.
Ich habe eine ganze Reihe von Angriffen durchgef�hrt. Selbstverst�ndlich sind DoS Angriffe auf den LINUX GRAPHICAL WALL Server, der stellvertretend f�r die User im lokalen Netz surft, m�glich. Hier endeten jedoch alle Wege. Der Versuch, den Datenstrom zu den Clients hinter Firewall 2 in dem lokalen Netzwerk zu st�ren, resultierten in PIXEL - St�rungen auf deren Bildschirmen, mehr nicht. Weiter kann man als Angreifer nicht kommen.
Einen Nachteil hat diese Konstruktion jedoch - Der User an der Arbeitsstation kann zwar Mails lesen und Programme downloaden, diese verbleiben jedoch stets auf der LINUX GRAHICAL WALL. �ber einen angeschlossenen Drucker k�nnen Mails und Attachments ausgedruckt werden, mehr nicht.
Der Vorteil dieser Firewallkonstruktion ist, da� Viren, trojanische Pferde niemals �ber Firewall-2 hinweg �bertragen werden k�nnen. Die Konfiguration von Firewall-2 ist relativ einfach - f�r jeden User mu� jeweils 1 TCP Port von Port 6000 an aufw�rts reserviert werden. Ein Angreifer kann mit dem VNC Protokoll keinerlei Schaden auf den Arbeitsstationen anrichten. Erstens enth�lt das VNC Protokoll ja nur Bildschirminformationen f�r die Clients, zweitens l�uft es in der JAVA SANDBOX ab, die zus�tzliche Sicherheit bietet.
Die Nachteile dieser Konstruktion sollen hier nat�rlich auch nicht verschwiegen werden. Gegen�ber allen anderen Firewalls sind die Nebenwirkungen aber �u�erst gering. Es gibt evtl. Probleme der Performance bei der �bertragung der Bildschirminhalte. Wer noch ein 10 MBit Netzwerk besitzt, der wird bemerken, da� die Inhalte bei mehr als 10 simultanen Usern nur noch ruckelnd �bertragen werden. Die Flut der Pixelinformationen sorgt trotz Kompression f�r eine ruckelnde �bertragung. Bei geswitchten 100 MBit Netzwerken k�nnen durchaus bis zu mehrere dutzend User simultan surfen. Hier wird das Limit durch die Performance der LINUX GRAPHICAL WALL gesetzt. Viel RAM und ein schneller Prozessor, sowie eine oder mehrere 100 MBit Karten reichen hier jedoch v�llig aus. Wer dennoch Performanceprobleme hat, der sollte mehrere LINUX GRAPHICAL WALL aufbauen. Wer viele User surfen lassen m�chte, und wem die Performance nicht reicht, der kann auf den Arbeitsstationen den Freeware X-Server (Server ist korrekt, obwohl Client) f�r Windows 95/98/NT installieren. Das X-Protokoll ist sehr kompakt und erlaubt den Anschlu� von mehreren hundert Arbeitsstationen pro 100 MBit LAN. Hier werden zwar auch nur Bildschirminformationen �bertragen, jedoch besteht die Gefahr eines Buffer Overflows im X-Server auf der Arbeitsstation hinter der Firewall 2. Diese Gefahr ist jedoch nicht so bedeutend, da ein Einbruchsversuch in den LOGFILES von Firewall-2 schnell bemerkt werden w�rde.
Diese GRAPHICAL WALL ist in zahlreichen Unternehmen im Einsatz und hat sich �u�erst bew�hrt. Probleme mit Viren, Makroviren, trojanischen Pferden geh�ren dort nun der Vergangenheit an. Und wenn nun ein Angreifer es schafft, bis zur LINUX GRAPHICAL WALL vorzudringen, dann sicherlich nicht unbemerkt. Sp�testens bei der Entdeckung der VNC - Server wird ein professioneller Cracker das Handtuch werfen.
Das Toolkit VNC ist im Internet unter http://www.uk.research.att.com/vnc/index.html zu finden. VNC liegt im Quellcode vor und unterliegt der GNU Public License. Support wird inzwischen von AT angeboten (fr�her eine Entwicklung von Olivetti). VNC wird f�r viele Betriebssysteme angeboten, UNIX, MAC, Windows. Die Clients liegen sogar in einer JAVA Version vor, soda� sichergestellt ist, da� in Zukunft auch alle Betriebssysteme unterst�tzt werden.
Die verwendeten Ports entsprechen denen von X-Windows, es wird jedoch nicht das RPC Protokoll eingesetzt. Eine einfache Freischaltung der Ports von 6000 -600x (je nach Zahl der Clients) auf der Firewall gen�gt.
Es sollte auch nicht unerw�hnt bleiben, da� die Folgekosten des Einsatzes der LINUX GRAPHICAL WALL erheblich geringer sind. Der Grund liegt darin, da� keinerlei Folgekosten f�r Lizenzen f�r Virenscanner, Neu/Nachinstallationen von Software auf Windows Clients entstehen.
Die LINUX GRAPHICAL WALL ist bereits erfolgreich bei zahlreichen Banken und Versicherungen im Einsatz. Das System arbeitet stabil und ohne besondere Probleme. In normalen Unternehmen ist die LINUX GRAPHICAL WALL f�r den Einsatz in den Bereichen Buchf�hrung/Gesch�ftsleitung pr�destiniert, also immer da, wo die Clients besonderen Gefahren durch Viren, trojanische Pferde, Active-X Applets.... ausgesetzt sind. Wer in einem Unternehmen bereits stukturierte Verkabelung mit intelligenten, aktiven Komponenten eingef�hrt hat, der kann mit Hilfe von V-LAN�s bestimmte Arbeitspl�tze im Unternehmen sicher mit Hilfe der LINUX GRAPHICAL WALL gegen Angriffe absichern.
Warum noch niemand auf diese Idee gekommen ist ?
Nun - man kann kein Geld damit verdienen......daher ist die Konstruktion in dieser Art verworfen worden.....FINJAN bietet aber etwas �hnliches f�r Active-X und JAVA an......nat�rlich patentiert und sehr teuer....
Die VNC-Server sind sehr einfach aufzusetzen, sowohl unter LINUX als auch unter SOLARIS, also auch f�r Anf�nger kein Problem. Der Client bedarf keine Konfiguration und kann sofort gestartet werden. Man sollte jedoch wissen, da� das INTEL Executable nicht gegen buffer overflows immun ist, und den JAVA Client stets vorziehen. Viel Spa� nur mit der ultimativ sicheren LINUX GRAPHICAL WALL, jedenfalls ist mir pers�nlich kein Weg bekannt, �berhaupt �ber diese FIREWALL trojanische Pferde oder Viren in ein Netzwerk einzuschleusen. Diese Probleme d�rften nun der Vergangenheit angeh�ren.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |