Product SiteDocumentation Site

2.8. Firewalls

Informatie beveiliging wordt meestal beschouwd als een proces en niet als een product. Standaard beveiligings implementaties gebruiken gewoonlijk echter een specifiek mechanisme om de toegangsrechten te controleren en netwerkhulpbronnen te beperken tot gebruikers die gemachtigd, identificeerbaar en traceerbaar zijn. Fedora bevat verscheidene gereedschappen om beheerders en beveiligings ingenieurs te helpen met toegangscontrole zaken op netwerk niveau.
Firewalls zijn een van de kernonderdelen van een netwerkbeveiligings implementatie. Verscheidene leveranciers brengen firewall oplossingen op de markt die zich richten op alle niveau's van de markt: van thuisgebruikers die een PC beschermen tot datacentrum oplossingen die vitale bedrijfsinformatie beschermen. Firewalls kunnen op zichzelf staande hardware oplossingen zijn, zoals firewall apparaten van Cisco, Nokia, en Sonicwall. Leveranciers zoals Checkpoint, McAfee, en Symantec hebben ook eigendomsmatige software firewall oplossingen ontwikkeld voor thuis en zakelijke markten.
Naast het verschil tussen hardware en software firewalls, zijn er ook verschillen in de manier waarop firewalls werken die de ene oplossing onderscheidt van een andere. Tabel 2.2, “Firewall types” geeft details van drie veel voorkomende types van firewalls en hoe ze werken:
Methode Beschrijving Voordelen Nadelen
NAT Network Address Translation (NAT) plaatst privé IP subnetwerken achter een of een kleine aantal publieke IP adressen en vermommen alle verzoeken alsof ze afkomstig zijn van een bron in plaats van een groter aantal. De Linux kernel heeft ingebouwde NAT functionaliteit door middel van het Netfilter kernel subsysteem.
· Kan transparant ingesteld worden voor machines op een LAN
· Bescherming van vele machines en services achter een of meer externe IP adressen vereenvoudigt beheers verplichtingen
· Beperking van gebruikerstoegang tot en vanaf het LAN kan ingesteld worden door het openen en sluiten van poorten op de NAT firewall/gateway
· Kan kwaadwillige activiteit niet voorkomen zodra gebruikers verbonden zijn met een service buiten de firewall
Pakket filter Een pakketfiltering firewall leest elk datapakket die door een LAN passeert. Het kan pakketten lezen en verwerken door de koptekst informatie en filtert de pakketten gebaseerd op een stelsel van programmeerbare regels geimplementeerd door de firewallbeheerder. De Linux kernel heeft ingebouwde pakketfiltering functionaliteit door middel van het Netfilter kernel subsysteem.
· Op maat in te stellen met het iptables front-end programma
· Vereist geen aanpassingen aan de kant van de client, omdat alle netwerk activiteit gefilterd wordt op het router niveau in plaats van het toepassings niveau
· Omdat pakketten niet via een proxy verzonden worden, is de netwerk snelheid hoger door de directe verbinding tussen de client en de host op afstand
· Kan geen pakketten filteren op inhoud zoals proxy firewalls
· Verwerken pakketten op de protocol laag, maar kunnen pakketten niet filteren op een toepassings laag
· Complexe netwerk architecturen kunnen het opstellen van pakketfilterings regels moeilijk maken, in het bijzonder als het gekoppeld wordt met IP masquerading of locale subnetwerken en DMZ netwerken
Proxy Proxy firewalls filteren alle verzoeken van een bepaald protocol of type van LAN clienten naar een proxy machine, welke dan deze verzoeken op het Internet plaatst namens de locale client. Een proxy machine werkt als een buffer tussen kwaadwillige gebruikers op afstand en de interne netwerk client machines.
· Geeft beheerders controle over welke toepassingen en protocols buiten het LAN kunnen werken
· Sommige netwerk servers kunnen vaak benaderde data locaal opslaan in plaats van de Internet verbinding te gebruiken om het te verzoeken. Dit helpt om het bandbreedte verbruik te verkeinen.
· Proxy services kunnen nauwlettend gevolg en gelogd worden, wat een betere controle toestaat van het gebruik van de hulpbronnen op het netwerk
· Proxies zijn vaak toepassings-specifiek (HTTP, Telnet, enz.), of beperkt tot een protocol (de meeste proxies werken alleen met services verbonden via TCP)
· Toepassingsservices kunnen niet acher een proxy draaien, dus je toepassingsservers moeten een andere vorm van netwerkbeveiliging gebruiken
· Proxies kunnen een netwek flessehals worden, omdat alle verzoeken en verzendingen door een bron gaan in plaats van direct van een client naar een service op afstand
Tabel 2.2. Firewall types

2.8.1. Netfilter en IPTables

De Linux kernel biedt een krachtig netwerk subsysteem met de naam Netfilter. Het Netfilter subsysteem biedt met-toestand of zonder-toestand pakket filtering te samen met NAT en IP vermommings services. Netfilter heeft ook de mogelijkheid om IP koptekst informatie te mangelen voor geavanceerde routings en verbindings toestand beheer. Netfilter wordt gecontroleerd met gebruik van het iptables gereedschap.

2.8.1.1. IPTables overzicht

De kracht en flexibiliteit van Netfilter wordt ingezet met gebruik van het iptables beheersgereedschap, een commandoregel gereedschap met een syntax die lijkt op die van zijn voorganger, ipchains.
Een vergelijkbare syntax betekent echter niet een vergelijkbare implementatie. ipchains vereist een complex stelsel regels voor: het filteren van bronpaden; het filteren van bestemmingspaden; en het filteren van zowel bron als bestemmings verbindingspoorten.
iptables, in tegenstelling, gebruikt het Netfilter subsysteem om netwerk verbinding, inspectie, en verwerking te verbeteren. iptables bevat geavanceerde logging, pre- en post-routing acties, netwerkadres vertaling, en poort forwarding, dit alles in een commandoregel interface.
Deze paragraaf geeft een overzicht van iptables. Voor meer gedetaileerde informatie refereer je naar Paragraaf 2.9, “IPTables”.