jkois 2012-01-08 16:07:37 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Markup, Tippfehler, Umformulierungen, Entityfehler.
Revision Changes Path
1.47 +52 -51 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.46
retrieving revision 1.47
diff -u -I$FreeBSDde.*$ -r1.46 -r1.47
--- chapter.sgml 8 Jan 2012 15:50:48 -0000 1.46
+++ chapter.sgml 8 Jan 2012 16:07:37 -0000 1.47
@@ -2163,7 +2163,7 @@
</sect3>
</sect2>
</sect1>
-<!--jkois - IPFW - gecheckt ab hier - 2011-11-30 -->
+<!--jkois - IPFW - gecheckt ab hier - 2012-01-08 -->
<sect1 id="firewalls-ipfw">
<title>IPFW</title>
@@ -2801,7 +2801,7 @@
diese jedoch um eigene Regeln.</para>
</sect4>
</sect3>
-<!--jkois gecheckt bis hier - 2012-01-01-->
+
<sect3>
<title>Optionen für zustandsgesteuerte Regeln</title>
@@ -2813,40 +2813,40 @@
<!-- XXX: duplicated -->
- <para>Zustandsgesteuerte Filterung behandelt Datenverkehr als
- einen bidirektionalen Austausch von Datenpaketen, die eine
- sogenannte Konversation in einer Sitzung darstellen. Sie hat
- Fähigkeiten, zu bestimmen, ob die Konversation von
+ <para>Eine zustandsgesteuerte Filterung behandelt Datenverkehr
+ als einen bidirektionalen Austausch von Datenpaketen (die eine
+ sogenannte Konversation innerhalb einer Sitzung darstellen).
+ Sie ist in der Lage, zu bestimmen, ob die Konversation von
originärem Sender und Empfänger gültigen
Prozeduren des bidirektionalen Pakettausches entspricht.
Pakete, die dem Muster von Konversationen in Sitzungen nicht
folgen, werden automatisch als <quote>Betrüger</quote>
abgelehnt.</para>
- <para>Die <literal>check-state</literal> Option findet
- Verwendung, um festzulegen, wo genau in dem IPFW-Regelwerk
- die Prüfung dynamischer Regeln stattfinden soll.
- Erfüllt ein Datenpaket die Selektionskriterien der
- Regel, verlässt das Paket die Firewall. Gleichzeitig
- wird eine neue dynamische Regel erzeugt, die für das
- nächste Paket der bidirektionalen Konversation in der
- Sitzung vorgesehen ist. Im Falle, dass ein Paket die
- (dynmische) Regel nicht erfüllt, wird das Paket gegen
- die nächste Regel im Regelwerk geprüft.</para>
-
- <para>Dynamische Regeln sind fuuml;r einem sogenannten
- <foreignphrase>SYN-flood</foreignphrase> Angriff
- anfällig, der eine gewaltige
- Anzahl <quote>schwebender</quote> dynamischer
- Regelprüfungungs-Instanzen erzeugt. Um einem solchen
- Angriff zu begegnen, wurde in &os; eine neue Option namens
- limit geschaffen. Diese Option begrenzt die Anzahl
- simultaner Sitzungen/Konversationen. Es ist ein Zähler
- definiert, der die Anzahl von Instanzen dynamischer
- Regelprüfung in Abhängigkeit von einer eindeutigen
- Urspungs- und Quelladresskombination zählt. Erreicht
- der Zähler einen größeren Wert als mit
- <literal>limit</literal> als Schwellenwert festgelegt, wird
+ <para>Die <literal>check-state</literal>-Option wird verwendet,
+ wo genau innerhalb des IPFW-Regelwerks die Prüfung
+ dynamischer Regeln stattfinden soll. Erfüllt ein
+ Datenpaket die Selektionskriterien der Regel, verlässt
+ das Paket die Firewall. Gleichzeitig wird eine neue
+ dynamische Regel erzeugt, die für das nächste Paket
+ der bidirektionalen Konversation in der Sitzung vorgesehen
+ ist. Falls ein Paket die (dyanmische) Regel nicht erfüllt,
+ wird es gegen die nächste Regel im Regelwerk
+ geprüft.</para>
+
+ <para>Dynamische Regeln sind für einem sogenannten
+ <foreignphrase>SYN-flood</foreignphrase>-Angriff anfällig,
+ bei dem eine riesige Anzahl <quote>schwebender</quote>
+ dynamischer Regelprüfungungsinstanzen erzeugt wird. Um
+ einem solchen Angriff zu begegnen, wurde in &os; die neue
+ Option <literal>limit</literal> geschaffen. Diese Option
+ begrenzt die Anzahl der gleichzeitig möglichen
+ Sitzungen und/oder Konversationen. Es handelt sich dabei um
+ einen Zähler, der die Anzahl von Instanzen dynamischer
+ Regelprüfungen in Abhängigkeit von einer eindeutigen
+ Urspungs- und Quelladresskombination zählt.
+ Übersteigt der Zähler den durch
+ <literal>limit</literal> definierten Schwellenwert, wird
das Paket verworfen.</para>
</sect3>
@@ -2861,28 +2861,29 @@
<para>Die Vorteile einer Protokollierung sind offensichtlich.
Sie ermöglicht nach Aktivierung von Regeln zu
- untersuchen, welche Pakete verworfen wurden, welchen
- Ursprungs diese waren und welche Bestimmungsorte sie hatten.
- Dies verschafft Ihnen gegenüber eventuellen Angreifern
- und deren Ermittlung einen signifikanten Vorteil.</para>
-
- <para>IPFW wird keinesfalls jede Regel ohne weiteres
- protokollieren, dies sogar dann, wenn die generelle
- Protokollierungsfunktion aktiviert ist. Der Administrator
- der Firewall entscheidet, welche Regeln protokolliert werden
- und fügt das Schlüsselwort
- <literal>log</literal> für diese Regeln hinzu. Im
- Regelfall werden nur <literal>deny</literal> Regeln
- protokolliert, wie z.B. die <literal>deny</literal> Regel
- für eintreffende <acronym>ICMP</acronym> pings.
- Üblicherweise wird jedoch die <quote>ipfw default deny
- everything</quote> Regel dupliziert, und zwar mit dem Zusatz
- <literal>log</literal>. So kann man alle Pakete sichtbar
- machen, für die keine einzige Regel Treffer
- erzielte.</para>
-
+ untersuchen, welche Pakete verworfen wurden, von wo diese
+ stammen und für welche Systeme sie bestimmt waren. Diese
+ Informationen sind sehr nützlich bei der Erkennung
+ eventueller Angriffe sowie bei deren Abwehr.</para>
+
+ <para>IPFW protokolliert nur jene Regeln, für die ein
+ Administrator dies explizit aktiviert. Ein Aktivieren
+ der Protolllfunktion führt also nicht dazu, dass
+ automatisch alle Regeln protokolliert werden. Vielmehr
+ entscheidet der Administrator der Firewall, welche Regeln
+ protokolliert werden sollen. Dazu wird die Option
+ <literal>log</literal> für diese Regeln aktiviert. Im
+ Regelfall werden nur <literal>deny</literal>-Regeln
+ protokolliert, beispielsweise die <literal>deny</literal>-Regel
+ für eintreffende <acronym>ICMP</acronym>-Nachrichten.
+ Üblicherweise wird die <quote>ipfw default deny
+ everything</quote>-Regel doppelt angelegt. Einmal mit und
+ einmal ohne aktivierte Option <literal>log</literal>. Dadurch
+ erhält man eine Auflistung aller Pakete, auf die keine
+ Regel zutraf.</para>
+<!--jkois gecheckt bis hier - 2012-01-08-->
<para>Protokollierung ist allerdings ein zweischneidiges
- Schwert; bei mangelnder Vorsicht ist es möglich, in
+ Schwert bei mangelnder Vorsicht ist es möglich, in
einer Fülle von Protokollierungsdaten zu versinken und
nebenbei die Festplatte mit stetig wachsenden
Protokollierungsdateien zu belasten. DoS-Angriffe, die so
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 08 Jan 2012 - 17:08:00 CET