Am 6.11.1997 fand am IHS der lange angekündigte Firewall Workshop statt und war erwiesenermaßen erfolgreicher als der ihm vorangegangene Call for Paper.
Nach einigen einleitenden Worten von Günther Leber, in der auch die Sponsoren Gams, IHS, OCG, Red Hat und WSR gebührend gewürdigt (u.a. versicherte Michael Lausch glaubwürdigst, daß die Gams ja doch die allerbesten Firewalls verkauft) und der Hinweis getätigt wurde, daß die allergrößte Errungenschaft der Sicherheitstechnik immer noch der Seitenschneider ist, gings dann beinhart zur Sache.
- Firewall - wozu? von Peter J. Holzer
Hier versuchte sich der Peter möglichst objektiv mit dem Thema "Notwenigkeit einer Firewall" auseinanderzusetzen. Zuerst wurde definiert was eine Firewall ist und mittels welcher Geräte man sie realisieren kann. Dann wurde darauf hingewiesen, daß sie in vielen Fällen (Angriffe von innen, Angriffe gegen öffentliche Services) keinen Schutz bietet. So erhöht sie zwar den Verwaltungsaufwand und macht bei Fehlkonfiguration gewisse Services unbrauchbar, fokusiert aber die Aufmerksamkeit des Sysadmins auf Sicherheitslöcher in ganz wenigen, bekannten Services und spart so auch wieder Verwaltungsaufwand, da der Admin ja sonst alle seine Server einzeln überwachen müsste.
- Protokolle von Michael Lausch
Es wurde ein Überblick über die Protokolle ICMP, IP und UDP gegeben. Dann wurde auf ein Problem mit IP-Paketen, das besteht, wenn die maximale Paketgrösse außerhalb der Firewall grösser ist als innerhalb und das DF (don't fragment) Flag gesetzt ist, hingewiesen. Auch mit dem ftp-Protokoll gibt es ein Problem, weil eine ftp-Verbindung über den Befehls- (get, dir, .....) und einen vom Server geöffneten Rückkanal erfolgt, wobei der Server die Portnummer am Client nach Lust und Laune vergibt, ohne daß die Firewall davon etwas mitkriegt. Durch richtige Konfiguration des ftpd (PASV-Option) kann das jedoch vermieden werden. Ansonsten funktioniert Firewalling unter Linux recht gut, auch wenn IP-Masquerading und/oder IP-Tunnelling betrieben wird.
- Beispiel einer Firewallkonfiguration von Lukas Fetz
Hier versuchte der Lukas im Detail zu zeigen, wie man das ipfwadm-Interface verwendet, um eine Firewall nach seinen tatsächlichen Bedürfnissen unter Linux zu konfigurieren. Die Bedürfnisse waren dabei absichtlich so einfach als möglich gewählt, sodaß für jeden, der diese Vorschläge in die Praxis umsetzen will, noch etwas Kopfarbeit ansteht. Die Konfiguration einer so komplexen Sache wie einer Firewallsoftware hat aber nicht nur unter Linux ihre Tücken.
- Fazit
Cirka 25 Unerschrockene ließen sich auch vom neuen Slogan der Luga "Geld oder Mitgliedschaft" nicht abschrecken und wohnten der Veranstaltung bei. Nur ein einziger, hier nicht näher bezeichneter Schlaumeier, konnte der Geldgier der Luga diesmal noch entrinnen. Wir haben auch diesmal wieder einige neue Mitglieder gewonnen, die wir mit einem dreifachen "Hipp Hipp ...." begrüssen. Wir hoffen sehr, daß alle Teilnehmer mit der Veranstaltung und dem nachfolgenden Catering zufrieden waren. Auch das Hanfbier haben wir diesmal endlich (nur 1 Woche nach dem Ablaufdatum) einer staunenden Öffentlichkeit präsentiert - die Nachfrage danach war jedenfalls rege.
Hier finden Sie dann noch eine fotographische Aufarbeitung der Ereignisse.