cvs commit: de-docproj/books/handbook/firewalls chapter.sgml

jkois 2012-01-08 16:07:37 UTC

  FreeBSD German Documentation Repository

  Modified files:
    books/handbook/firewalls chapter.sgml
  Log:
  Markup, Tippfehler, Umformulierungen, Entityfehler.
  
  Revision Changes Path
  1.47 +52 -51 de-docproj/books/handbook/firewalls/chapter.sgml
  
  Index: chapter.sgml
  ===================================================================
  RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
  retrieving revision 1.46
  retrieving revision 1.47
  diff -u -I$FreeBSDde.*$ -r1.46 -r1.47
  --- chapter.sgml 8 Jan 2012 15:50:48 -0000 1.46
  +++ chapter.sgml 8 Jan 2012 16:07:37 -0000 1.47
  @@ -2163,7 +2163,7 @@
         </sect3>
       </sect2>
     </sect1>
  -<!--jkois - IPFW - gecheckt ab hier - 2011-11-30 -->
  +<!--jkois - IPFW - gecheckt ab hier - 2012-01-08 -->
     <sect1 id="firewalls-ipfw">
       <title>IPFW</title>
   
  @@ -2801,7 +2801,7 @@
               diese jedoch um eigene Regeln.</para>
           </sect4>
         </sect3>
  -<!--jkois gecheckt bis hier - 2012-01-01-->
  +
         <sect3>
           <title>Optionen f&uuml;r zustandsgesteuerte Regeln</title>
   
  @@ -2813,40 +2813,40 @@
   
           <!-- XXX: duplicated -->
   
  - <para>Zustandsgesteuerte Filterung behandelt Datenverkehr als
  - einen bidirektionalen Austausch von Datenpaketen, die eine
  - sogenannte Konversation in einer Sitzung darstellen. Sie hat
  - F&auml;higkeiten, zu bestimmen, ob die Konversation von
  + <para>Eine zustandsgesteuerte Filterung behandelt Datenverkehr
  + als einen bidirektionalen Austausch von Datenpaketen (die eine
  + sogenannte Konversation innerhalb einer Sitzung darstellen).
  + Sie ist in der Lage, zu bestimmen, ob die Konversation von
             origin&auml;rem Sender und Empf&auml;nger g&uuml;ltigen
             Prozeduren des bidirektionalen Pakettausches entspricht.
             Pakete, die dem Muster von Konversationen in Sitzungen nicht
             folgen, werden automatisch als <quote>Betr&uuml;ger</quote>
             abgelehnt.</para>
   
  - <para>Die <literal>check-state</literal> Option findet
  - Verwendung, um festzulegen, wo genau in dem IPFW-Regelwerk
  - die Pr&uuml;fung dynamischer Regeln stattfinden soll.
  - Erf&uuml;llt ein Datenpaket die Selektionskriterien der
  - Regel, verl&auml;sst das Paket die Firewall. Gleichzeitig
  - wird eine neue dynamische Regel erzeugt, die f&uuml;r das
  - n&auml;chste Paket der bidirektionalen Konversation in der
  - Sitzung vorgesehen ist. Im Falle, dass ein Paket die
  - (dynmische) Regel nicht erf&uuml;llt, wird das Paket gegen
  - die n&auml;chste Regel im Regelwerk gepr&uuml;ft.</para>
  -
  - <para>Dynamische Regeln sind fuuml;r einem sogenannten
  - <foreignphrase>SYN-flood</foreignphrase> Angriff
  - anf&auml;llig, der eine gewaltige
  - Anzahl <quote>schwebender</quote> dynamischer
  - Regelpr&uuml;fungungs-Instanzen erzeugt. Um einem solchen
  - Angriff zu begegnen, wurde in &os; eine neue Option namens
  - limit geschaffen. Diese Option begrenzt die Anzahl
  - simultaner Sitzungen/Konversationen. Es ist ein Z&auml;hler
  - definiert, der die Anzahl von Instanzen dynamischer
  - Regelpr&uuml;fung in Abh&auml;ngigkeit von einer eindeutigen
  - Urspungs- und Quelladresskombination z&auml;hlt. Erreicht
  - der Z&auml;hler einen gr&ouml;&szlig;eren Wert als mit
  - <literal>limit</literal> als Schwellenwert festgelegt, wird
  + <para>Die <literal>check-state</literal>-Option wird verwendet,
  + wo genau innerhalb des IPFW-Regelwerks die Pr&uuml;fung
  + dynamischer Regeln stattfinden soll. Erf&uuml;llt ein
  + Datenpaket die Selektionskriterien der Regel, verl&auml;sst
  + das Paket die Firewall. Gleichzeitig wird eine neue
  + dynamische Regel erzeugt, die f&uuml;r das n&auml;chste Paket
  + der bidirektionalen Konversation in der Sitzung vorgesehen
  + ist. Falls ein Paket die (dyanmische) Regel nicht erf&uuml;llt,
  + wird es gegen die n&auml;chste Regel im Regelwerk
  + gepr&uuml;ft.</para>
  +
  + <para>Dynamische Regeln sind f&uuml;r einem sogenannten
  + <foreignphrase>SYN-flood</foreignphrase>-Angriff anf&auml;llig,
  + bei dem eine riesige Anzahl <quote>schwebender</quote>
  + dynamischer Regelpr&uuml;fungungsinstanzen erzeugt wird. Um
  + einem solchen Angriff zu begegnen, wurde in &os; die neue
  + Option <literal>limit</literal> geschaffen. Diese Option
  + begrenzt die Anzahl der gleichzeitig m&ouml;glichen
  + Sitzungen und/oder Konversationen. Es handelt sich dabei um
  + einen Z&auml;hler, der die Anzahl von Instanzen dynamischer
  + Regelpr&uuml;fungen in Abh&auml;ngigkeit von einer eindeutigen
  + Urspungs- und Quelladresskombination z&auml;hlt.
  + &Uuml;bersteigt der Z&auml;hler den durch
  + <literal>limit</literal> definierten Schwellenwert, wird
             das Paket verworfen.</para>
         </sect3>
   
  @@ -2861,28 +2861,29 @@
   
           <para>Die Vorteile einer Protokollierung sind offensichtlich.
             Sie erm&ouml;glicht nach Aktivierung von Regeln zu
  - untersuchen, welche Pakete verworfen wurden, welchen
  - Ursprungs diese waren und welche Bestimmungsorte sie hatten.
  - Dies verschafft Ihnen gegen&uuml;ber eventuellen Angreifern
  - und deren Ermittlung einen signifikanten Vorteil.</para>
  -
  - <para>IPFW wird keinesfalls jede Regel ohne weiteres
  - protokollieren, dies sogar dann, wenn die generelle
  - Protokollierungsfunktion aktiviert ist. Der Administrator
  - der Firewall entscheidet, welche Regeln protokolliert werden
  - und f&uuml;gt das Schl&uuml;sselwort
  - <literal>log</literal> f&uuml;r diese Regeln hinzu. Im
  - Regelfall werden nur <literal>deny</literal> Regeln
  - protokolliert, wie z.B. die <literal>deny</literal> Regel
  - f&uuml;r eintreffende <acronym>ICMP</acronym> pings.
  - &Uuml;blicherweise wird jedoch die <quote>ipfw default deny
  - everything</quote> Regel dupliziert, und zwar mit dem Zusatz
  - <literal>log</literal>. So kann man alle Pakete sichtbar
  - machen, f&uuml;r die keine einzige Regel Treffer
  - erzielte.</para>
  -
  + untersuchen, welche Pakete verworfen wurden, von wo diese
  + stammen und f&uuml;r welche Systeme sie bestimmt waren. Diese
  + Informationen sind sehr n&uuml;tzlich bei der Erkennung
  + eventueller Angriffe sowie bei deren Abwehr.</para>
  +
  + <para>IPFW protokolliert nur jene Regeln, f&uuml;r die ein
  + Administrator dies explizit aktiviert. Ein Aktivieren
  + der Protolllfunktion f&uuml;hrt also nicht dazu, dass
  + automatisch alle Regeln protokolliert werden. Vielmehr
  + entscheidet der Administrator der Firewall, welche Regeln
  + protokolliert werden sollen. Dazu wird die Option
  + <literal>log</literal> f&uuml;r diese Regeln aktiviert. Im
  + Regelfall werden nur <literal>deny</literal>-Regeln
  + protokolliert, beispielsweise die <literal>deny</literal>-Regel
  + f&uuml;r eintreffende <acronym>ICMP</acronym>-Nachrichten.
  + &Uuml;blicherweise wird die <quote>ipfw default deny
  + everything</quote>-Regel doppelt angelegt. Einmal mit und
  + einmal ohne aktivierte Option <literal>log</literal>. Dadurch
  + erh&auml;lt man eine Auflistung aller Pakete, auf die keine
  + Regel zutraf.</para>
  +<!--jkois gecheckt bis hier - 2012-01-08-->
           <para>Protokollierung ist allerdings ein zweischneidiges
  - Schwert; bei mangelnder Vorsicht ist es m&ouml;glich, in
  + Schwert bei mangelnder Vorsicht ist es m&ouml;glich, in
             einer F&uuml;lle von Protokollierungsdaten zu versinken und
             nebenbei die Festplatte mit stetig wachsenden
             Protokollierungsdateien zu belasten. DoS-Angriffe, die so
  

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 08 Jan 2012 - 17:08:00 CET