Firewall Glossar
kleines Firewall - Glossar:
| A |
|
Address Spoofing: Verwendung von falschen (Absender-) Adressen in IP-Packeten zur Vortäuschung eines falschen Ursprungs. |
|
Application Proxy: An application that forwards application traffic through a firewall. Proxies tend to be specific to the protocol they are designed to forward, and may provide increased access control or audit. |
|
arp: arp wird dazu verwendet, anhand einer IP-Adresse die entsprechende MAC-Adresse zu ermitteln. Als Parameter wird die IP-Adresse des gewünschten Systems angegeben. Die MAC-Adresse wird vom Schicht-2-Protokoll zur Adressierung des Zielsystems benötigt. Mit arp lassen sich aber auch Modifikationen an der ARP-Datei durchführen. So kann mit arp -d hostname der Eintrag einer Maschine aus der ARP-Datei gelöscht werden. |
| B |
|
Bastion Host: A host system that is a "strong point" in the network's security perimeter. Bastion hosts should be configured to be particularly resistant to attack. In a host-based firewall, the bastion host is the platform on which the firewall software is run. Bastion hosts are also referred to as "gateway hosts". |
| D |
|
Dämon: Ein Programm, welches beim Bootvorgang oder beim Starten einer Anwendung gestartet wird und im Hintergrund aktiv bleibt. Es läuft also unsichtbar ab, deshalb der Name "Dämon" -> Geist, Spuk. |
|
DMZ (Grenznetz): De-Militarisierte Zone. Netz, das als Schutzschicht zwischen ein geschütztes und ein externes Netz eingefügt wird. |
|
Dual-Homed Gateway oder Dual-Homed Host: A firewall consisting of a bastion host with 2 network interfaces, one of which is connected to the protected network, the other of which is connected to the Internet. IP traffic forwarding is usually disabled, restricting all traffic between the two networks to whatever passes through some kind of application proxy. |
| E |
|
/etc: Im Verzeichnis /etc befinden sich Konfigurationsdateien für die Programme des Root-Filesystems sowie rechnerspezifische Konfigurationsdateien für andere Distributionen. Alle Dateien in diesem Verzeichnis sind ASCII-Dateien und können mit einem normalen Editor wie z.B. vi bearbeitet werden. Aus Sicherheitsgründen sollte nur root schreibend auf diese Dateien Zugriff haben. |
|
/etc/ethers: ethers enthält MAC-Adressen aller Rechner an einem lokalen Netz. Sie wird vom rarpd dämon verwendet. |
| F |
|
finger Mit finger lassen sich Informationen wie Login-Name, richtiger Name, Terminal-Name, Bereitschaftszeit, Loginzeit und Standort der aktiven Benutzer eines Systems anzeigen. Mit verschiedenen Optionen kann ein bestimmtes Ausgabeformat der Informationen erzeugt werden. |
|
Firewall A firewall is any one of several ways of protecting one network from another untrusted network. The actual mechanism whereby this is accomplished varies widely, but in principle, the firewall can be thought of as a pair of mechanisms: one which exists to block traffic, and the other which exists to permit traffic. Some firewalls place a greater emphasis on blocking traffic, while others emphasize permitting traffic. |
| G |
|
/etc/group: In dieser Datei sind die Benutzergruppen und ihre Mitglieder festgehalten. Sinn der Gruppenbildung ist es, den Benutzern einen kontrollierten Zugriff auf bestimmte Teile des Systems (z.B. Drucker, News, Diskettenlaufwerk etc.) zu geben. Es stellt somit einen systeminternen Sicherheitsmechanismus dar. Für Angreifer können diese Informationen interessant sein. |
| H |
|
Host: Ein eigenständiges Computersystem mit Anschluss an einem Netz (PC, Workstation, etc.). |
|
/etc/hosts: In der Datei hosts werden die (noch) vier Byte langen IP-Adressen den verbalen Namen der Netzwerkrechner zugeordnet. Die Einträge bestehen aus den IP-Adressen der Hosts am Anfang der Zeile und den Namen der Rechner. |
|
Host-based Firewall: A firewall where the security is implemented in software running on a general-purpose computer of some sort. Security in host-based firewalls is generally at the application level, rather than at network level. |
| I |
|
ifconfig (Interface Konfiguration): ifconfig wird für die Konfiguration der Netzwerkschnittstelle eingesetzt. Dazu gehört das Festlegen der Netmask, der Broadcast-Adresse, der IP-Adresse und eine Angabe, ob die Schnittstelle aktiv ist oder nicht. Normalerweise wird ifconfig beim Systemstart ausgeführt. Man kann aber auch während dem Betrieb Änderungen an den aktuellen Einstellungen vornehmen. |
|
/etc/inetd.conf: inetd.conf ist die Konfigurationsdatei zum inet-dämon (inetd). inetd lauscht auf den IP-Ports auf ankommende Verbindungsanforderungen. Bei einer Verbindungsanforderung aktiviert er den entsprechenden Server. |
| M |
|
MAC-Adresse: siehe arp |
|
mount: mount ist ein Unix-Kommando. Mit mount kann eine zusätzliche Festplatten-Partition in ein Verzeichnis eingebunden werden. In Unix kann man dann von Verzeichnis zu Verzeichnis und dabei von einer Platte auf die anderen wechseln. Man kann auch freigegebene Verzeichnisse von anderen Hosts über das Netzwerk "mounten". |
| N |
|
/etc/netmasks: In der Datei netmasks sind alle vom System benötigten Subnetzmasken eingetragen. Mit Hilfe der Einträge kann die Maschine feststellen, in welches Subnetz das empfangene Paket zu senden ist. |
|
netstat: netstat zeigt verschiedene netzwerkbezogene Informationen in verschiedenen Formaten abhängig von den Optionen an. Sie können damit Routingtabellen, die Speicherauslastung innerhalb des Netzwerks, eine Protokollstatistik usw. anzeigen lassen. |
|
/etc/networks: Die Datei networks teilt Netznamen IP-Adressen zu. Sie ist mit der Datei hosts zu vergleichen. |
| P |
|
Paketfilterung: Prozess, welcher Pakete gemäss gegebenen Regeln passieren lässt oder sperrt. Filterung wird z.B. in lokalen Netzen von Bridges ausgeführt, um Pakete nicht mehr ins Ursprungssegment zu schicken, die als Ziel ein anderes Netzsegment haben als deren Ursprungssegment. |
|
/etc/passwd: Die Datei passwd ist die Benutzerdatenbank des Systems. Hier werden die Namen, die Benutzernummern und das Home-Verzeichnis der Anwender gespeichert. Zudem sind in der "normalen" passwd-Datei auch die verschlüsselten Passwörter enthalten. |
|
ping: Der Name "Ping" stammt von einem Sonarsystem, bei welchem ein Ping als Tonimpuls ausgesendet wird. ping arbeitet mit dem gleichen Prinzip, verwendet anstelle des Tonsignals jedoch das ICMP-Element ECHO_REQUEST. Die angesprochene (oder besser "angepingte") Maschine anwortet auf jedes empfangene Paket mit einem ICMP-ECHO_REPLY. Die anfragende Maschine erhält dann die Meldung "host is alive". Sollte die Maschine nicht erreichbar sein, wird nach einem Timeout "no answer from host" eine Fehlermeldung ausgegeben. Die Standardeinstellung des Timeouts ist 20 Sekunden. |
|
Port: Ein Port ist ein Kommunikationsendpunkt eines Systemes. Wenn ein System mit einem anderen eine Kommunikationsverbindung aufbauen will, so muss es die Port-Nummer des Kommunikationspartners kennen. D.h. der passive Empfänger muss auf dem bestimmten Port auf die Anforderung zum Verbindungsaufbau warten. Es ist dabei möglich, dass gleichzeitig mehrere Anwendungen den gleichen Dienst (z.B. Telnet) benützen. Dazu werden die Verbindungen mit je einem Tupel "IP-Adresse und Port-Nummer" vom Sender und Empfänger zusammen als gemeinsamer Kommunikationsendpunkt, auch Socket genannt, unterschieden. Den gebräuchlichsten Diensten sind ihre Port-Nummern fest zugewiesen. |
|
Proxy: "Proxy" -> Stellvertreter: System oder Prozess, welcher für Maschinen ohne Zugang eine Zugangsmöglichkeit bietet. |
|
Proxy-Dienst: Einzelner Teil eines Proxy-Systems, welches für einen einzelnen Internet-Dienst benötigt wird (Bsp.: FTP-, Telnet-, HTTP-Proxy). |
|
Proxy-Server: Ein Programm, welches stellvertretend für interne Clients mit externen Servern kommuniziert. Es stellt eine Art Verbindungspunkt für diese Kommunikation dar, denn nur so ist ein Server von einem Client erreichbar. |
| R |
|
Router, äusserer: Der äussere Router (manchmal auch Access-Router genannt) schützt die DMZ und das interne Netz vor dem Internet. Meistens wird dieser Router vom Internet-Provider angeboten. Falls hohe Sicherheit verlangt wird, ist der äussere Router ein firmeninternes Gerät. Die Hauptaufgabe ist dann das Blockieren von Paketen mit gefälschten Ursprungsadressen. Diese Pakete behaupten, vom internen Netz zu kommen, werden aber auf dem Internet-"Port" vom Router empfangen -> Diskrepanz. |
|
Router-based Firewall: A firewall where the security is implemented using screening routers as the primary means of protecting the network. |
|
Router, Innerer: Der innere Router (manchmal auch Choke-Router genannt) schützt das interne Netz vor der DMZ (Grenznetz) und vor dem Internet. Der innere Router liegt somit zwischen dem internen Netz und der DMZ. |
| S |
|
Screened Subnet: A firewall architecture in which a "sand box" or "demilitarized zone" network is set up between the protected network and the Internet, with traffic between the protected network and the Internet blocked. Conceptually, this is similar to a dual-homed gateway, except that an entire network, rather than a single host is reachable from the outside. |
|
Screening Router: A router that is used to implement part of the security of a firewall by configuring it to selectively permit or deny traffic at a network level. |
|
/etc/services: Die Datei services enthält eine Liste der Dienste, die auf dem entsprechenden Rechner bekannt sind. |
|
Socket: siehe port |
|
Spoofing: Siehe Address Spoofing |
|
Source Routing: Beim Source Routing legen die Endsysteme den für ein Paket einzuschlagenden Weg (Route) fest. Dabei wird vom Quellsystem zuerst ein Suchrahmen (discovery frame) versandt, der nach dem Standort des Zielsystems fragt. Der Suchrahmen wird von allen Brücken und Routern kopiert und weitergeleitet. Auf dem Rückweg vom Zielsystem zum Quellsystem fügt jede Brücke und jeder Router seine Adresse in das Antwortpaket ein, sodass dieses bei der Ankunft beim Quellsystem den gesamten zurückgelegten Weg beinhaltet. Jetzt kann das Quellsystem aus den Antwortpaketen dasjenige auswählen, das den kürzesten Weg beschreibt. Der Algorithmus findet so auf alle Fälle den besten Weg, doch durch das Aussenden des discovery-Rahmens erfährt das Kommunikationsnetz eine Rahmenexplosion. |
|
/etc/syslog.conf syslog.conf ist die Konfigurationsdatei zum entsprechenden Dämon syslogd. syslogd wird meist beim Booten gestartet und zeichnet alle Systemaktivitäten auf. Darunter fallen z.B. Debugging-, Info-, Warning-, Error- und weitere Meldungen. syslog.conf wird dazu gebraucht, festzulegen, wo syslogd seine Loginformationen ablegen soll. |
| T |
|
traceroute: traceroute steht für "verfolge Route" und liefert alle Teilstrecken zwischen Quellsystem und Zielsystem, die ein Paket auf seinem Weg durchwandert. Dabei verwendet es das "time-to-live"-Feld im IP-Paket, um eine allfällige "ICMPTIME_EXCEEDED"-Meldung bei entsprechenden Gateways auf dem Weg zum Ziel zu ermöglichen. traceroute sendet so lange Pakete aus, bis entweder die maximale Anzahl an Pakten erreicht ist oder der entfernte Rechner mit der Meldung "ICMP PORT UNREACHABLE" antwortet. Somit versucht es, den Weg ausfindig zu machen, den ein IP-Paket voraussichtlich einschlagen wird, um zum entsprechenden Host zu gelangen. |
| V |
|
vi: Ein bekannter und beliebter Texteditor in Unix-Systemen. |
