Das Titelthema im ADMIN 04/14 "Vernetzt speichern" sind Netzwerkdateisysteme, etwa Samba 4, verteilter Storage mit Ceph & GlusterFS und der Unix-Klassiker ... (mehr)

Administration muss sein

Zwar kann dies von System zu System variieren, jedoch sind häufig die folgenden Applikationsprotokolle notwendig: SSH (Port 22/tcp), die sichere Remote-Shell, HTTPS (Port 443/tcp), der sichere Webzugang zum einen oder anderen Administrations-Web-Frontend und SNMP (Port 161/udp), das Simple Network Management Protocol, das oft erforderlich ist, da viele Monitoring-Systeme darauf basieren. Davon ausgehend, dass die Administration des Systems nur von innen geschieht, können Sie das Interface für den eingehenden Traffic eingrenzen. Dies bringt zusätzliche Sicherheit. Zusätzlich können Sie den Zugriff auf das LAN-Subnetz eineschränken. Unter dem Strich ergibt sich also folgende Multiport-Regel:

# Administration
ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p tcp -m multiport --dport 22,80,443 -j ACCEPT

Je nach Szenario dient die Firewall als Gateway zur Außenwelt selbst als DNS-Proxy oder aber die internen Systeme nutzen einen dedizierten DNS-Server – dieser kann im LAN selbst oder im Internet stehen. Die DNS-Kommunikation kann bei Bedarf weiter eingeschränkt werden. Im Beispielszenario erlauben Sie jedoch den DNS-Traffic sowohl auf die Firewall (für den Fall, dass hier ein DNS-Server installiert ist) als auch den Traffic durch die Firewall hindurch ins Internet. Außerdem muss der DNS-Traffic von der Firewall ins Internet erlaubt werden:

# DNS-Traffic
ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT
ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT
ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT

Web und Mail

Sind nur interne Systeme vorhanden, die Zugriff via Browser und E-Mail-Client ins Internet benötigen, ist dies in drei Regeln abgehandelt beziehungsweise mit der Multiport-Option in einer einzigen Regel. Allerdings sieht das Beispielszenario vor, den Zugriff auf den Server in der DMZ über HTTP und HTTPS sowie SMTP zu erlauben. "Brutto" ergibt das sechs Regeln. Mit der Multiport-Option lässt sich das in zwei Regeln zusammenfassen (Listing  1).

Listing 1 Regions

01 # Web und Mail aus dem LAN
02 ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p tcp -m multiport --dport 25,80,443 -j ACCEPT
03 # Web und Mail aus dem Internet
04 ip6tables -A FORWARD -i $WAN_IF -s 2000::/3 -d $DMZ_NET -p -m multiport tcp --dport 25,80,443 -j ACCEPT

An dieser Stelle wäre es möglich, auch die ausgehenden Interfaces zu unterscheiden, wenn man dies möchte. In den beiden Regeln sind zwei wichtige Einschränkungen des jeweiligen Filters enthalten. Zum einen wird die Absenderadresse auf den von der IANA definierten Bereich der Global-Unicast-Adressen beschränkt und zum anderen wird hier der Zugriff auf das DMZ-Netz zur Bedingung gemacht, um den Traffic hindurch zu lassen. Dies bedeutet im Umkehrschluss, dass Traffic von außen auf die internen Systeme nicht erlaubt wird. Wenn weitere Applikationen benötigt werden, ist das Prinzip grundsätzlich immer dasselbe wie gezeigt.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023