diff options
| author | Johann Kois <jkois@FreeBSD.org> | 2005-08-25 16:26:12 +0000 |
|---|---|---|
| committer | Johann Kois <jkois@FreeBSD.org> | 2005-08-25 16:26:12 +0000 |
| commit | 6170283b300623867cbc6e464c33ccae7094d425 (patch) | |
| tree | 07e22052087d3077eba6f77539d9f2775e1d5ed1 /de_DE.ISO8859-1/books/handbook/firewalls | |
| parent | 2d7f5d29bc8596685a2b01e90de2231528e5590a (diff) | |
| download | doc-6170283b300623867cbc6e464c33ccae7094d425.tar.gz doc-6170283b300623867cbc6e464c33ccae7094d425.zip | |
MFbed: Update the German documentation set.
articles/contributing/article.sgml 1.503 -> 1.505
articles/explaining-bsd/article.sgml 1.19 -> 1.20
articles/laptop/article.sgml 1.22 -> 1.23
books/handbook/Makefile 1.91 -> 1.94
books/handbook/book.sgml 1.159 -> 1.162
books/handbook/chapters.ent 1.29 -> 1.32
books/handbook/advanced-networking/chapter.sgml 1.361 -> 1.367
books/handbook/audit/chapter.sgml new placeholder file
books/handbook/firewalls/chapter.sgml new translation [x]
books/handbook/geom/chapter.sgml new placeholder file
books/handbook/linuxemu/chapter.sgml 1.122 -> 1.124
books/handbook/network-servers/chapter.sgml 1.57 -> 1.69
books/faq/book.sgml 1.752 -> 1.756
books/fdp-primer/book.sgml 1.26 -> 1.27
books/fdp-primer/examples/appendix.sgml 1.11 -> 1.16
books/fdp-primer/overview/chapter.sgml 1.22 -> 1.23
books/fdp-primer/sgml-markup/chapter.sgml 1.51 -> 1.69
books/fdp-primer/the-website/chapter.sgml 1.17 -> 1.21
books/fdp-primer/tools/chapter.sgml 1.30 -> 1.31
books/fdp-primer/writing-style/chapter.sgml 1.42 -> 1.47
share/sgml/mailing-lists.ent 1.40 -> 1.47
[x] Submitted by: Michael Bunzel (bunzel at gmail.com)
Obtained from: The FreeBSD German Documentation Project.
Approved by: mheinen (mentor)
Notes
Notes:
svn path=/head/; revision=25450
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/firewalls')
| -rw-r--r-- | de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml | 483 |
1 files changed, 474 insertions, 9 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml index cafbe388bb..fa05ba71f0 100644 --- a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml @@ -3,20 +3,485 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.1 2004/12/30 20:42:22 jkois Exp $ - basiert auf: + $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.2 2005/08/14 11:56:41 jkois Exp $ + basiert auf: 1.62 --> <chapter id="firewalls"> + <chapterinfo> + <authorgroup> + <author> + <firstname>Joseph J.</firstname> + <surname>Barbish</surname> + <contrib>Beigetragen von </contrib> + </author> + </authorgroup> + <authorgroup> + <author> + <firstname>Brad</firstname> + <surname>Davis</surname> + <contrib>Nach SGML konvertiert und aktualisiert von </contrib> + </author> + </authorgroup> + <authorgroup> + <author> + <firstname>Michael</firstname> + <surname>Bunzel</surname> + <contrib>Übersetzt von </contrib> + </author> + </authorgroup> - <title>Firewalls (noch nicht übersetzt)</title> + </chapterinfo> - <para>Dieses Kapitel ist noch nicht übersetzt. - Lesen Sie bitte <ulink - url="&url.books.handbook.en;/firewalls.html"> - das Original in englischer Sprache</ulink>. Wenn Sie helfen - wollen, dieses Kapitel zu übersetzen, senden Sie bitte - eine E-Mail an die Mailingliste &a.de.translators;.</para> + <title>Firewalls</title> + + <indexterm><primary>firewall</primary></indexterm> + + <indexterm> + <primary>security</primary> + + <secondary>firewalls</secondary> + </indexterm> + + <sect1 id="firewalls-intro"> + <title>Einführung</title> + + <para>Firewalls ermöglichen es, den ein- und ausgehenden + Netzwerkverkehr Ihres Systems zu filtern. Dazu verwendet eine + Firewall eine oder mehrere Gruppen von <quote>Regeln</quote>, + um ankommende Netzwerkpakete zu untersuchen und entweder + durchzulassen oder zu blockieren. Die Regeln einer + Firewall untersuchen charakteristische Eigenschaften von + Datenpaketen, darunter den Protokolltyp, die Quell- und + Zieladresse sowie den Quell- und Zielport.</para> + + <para>Firewalls können die Sicherheit eines Rechners oder + eines Netzwerks erhöhen, indem sie folgende Aufgaben + übernehmen:</para> + + <itemizedlist> + <listitem> + <para>Den Schutz der Anwendungen, Dienste und Rechner Ihres + internen Netzwerks vor unerwünschtem Datenverkehr + aus dem Internet.</para> + </listitem> + + <listitem> + <para>Die Beschränkung des Zugriffs von Rechnern des + internen Netzwerk auf Rechner oder Dienste des externen + Internets.</para> + </listitem> + + <listitem> + <para>Den Einsatz von Network Address Translation + (<acronym>NAT</acronym>), die es Ihnen durch die Verwendung + von privaten <acronym>IP</acronym>-Adressen ermöglicht, + eine einzige gemeinsame Internetverbindung für mehrere + Rechner zu nutzen (entweder über eine einzige Adresse + oder über eine Gruppe von jeweils automatisch + zugewiesenen öffentlichen + <acronym>IP</acronym>-Adressen).</para> + </listitem> + </itemizedlist> + + <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie:</para> + + <itemizedlist> + <listitem> + <para>Wissen, wie man korrekte Paketfilterregeln erstellt.</para> + </listitem> + + <listitem> + <para>Die Unterschiede zwischen den in &os; eingebauten Firewalls + kennen.</para> + </listitem> + + <listitem> + <para>Wissen, wie man die <application>PF</application>-Firewall + von OpenBSD konfiguriert und einsetzt.</para> + </listitem> + + <listitem> + <para><application>IPFILTER</application> konfigurieren und + einsetzen können.</para> + </listitem> + + <listitem> + <para>Wissen, wie man + <application>IPFW</application> konfiguriert und einsetzt.</para> + </listitem> + </itemizedlist> + + <para>Bevor Sie dieses Kapitel lesen, sollten Sie:</para> + + <itemizedlist> + <listitem> + <para>Die grundlegenden Konzepte von &os; und dem Internet + verstehen.</para> + </listitem> + </itemizedlist> + </sect1> + + <sect1 id="firewalls-concepts"> + <title>Firewallkonzepte</title> + + <indexterm> + <primary>firewall</primary> + + <secondary>rulesets</secondary> + </indexterm> + + <para>Es gibt zwei grundlegende Arten, Regelgruppen für + Firewalls zu erstellen: <quote>einschließend</quote> + (<foreignphrase>inclusive firewall</foreignphrase>) sowie + <quote>auschließend</quote> (<foreignphrase>exclusive + Firewall</foreignphrase>). Eine auschließende Firewall + lässt jeden Datenverkehr durch, der nicht durch eine Regel + ausgeschlossen wurde. Eine einschließende Firewall macht + das genaue Gegenteil. Sie lässt Datenverkehr nur dann + durch, wenn er einer der definierten Regeln entspricht.</para> + + <para>Einschließende Firewalls sind tendentiell sicherer als + ausschließende Firewalls, da sie das Risiko, dass + unerwünschter Datenverkehr die Firewall passiert, signifikant + reduzieren.</para> + + <para>Die Sicherheit einer Firewall kann durch den Einsatz einer + <quote>zustandsabhängigen Firewall</quote> + (<foreignphrase>stateful firewall</foreignphrase>) weiter + erhöht werden. Eine zustandsabhängige Firewall + überwacht alle durch die Firewall gehenden offenen + Verbindungen und erlaubt nur schon bestehenden Verkehr oder + Datenverkehr, der eine neue Verbindung öffnet. Der Nachteil + einer zustandsabhängigen Firewall ist allerdings, dass sie + anfällig für Denial of Service (<acronym>DoS</acronym>) + -Attacken ist, wenn sehr schnell sehr viele neue Verbindungen + erstellt werden. Bei den meisten Firewalls können Sie eine + Kombination aus zustandsabhängigem und nicht + zustandsabhängigem Verhalten verwenden, um eine für Ihre + Bedürfnisse optimale Fireall einzurichten.</para> + </sect1> + + <sect1 id="firewalls-apps"> + <title>Firewallpakete</title> + + <para>Das Basissystem von &os; enthält bereits drei + Firewallpakete: <emphasis>IPFILTER</emphasis> (auch als + <acronym>IPF</acronym> bekannt), <emphasis>IPFIREWALL</emphasis> + (auch als <acronym>IPFW</acronym> bezeichnet) sowie das von OpenBSD + übernommene <emphasis>PacketFilter</emphasis> (das auch als + <acronym>PF</acronym> bezeichnet wird). Zusätzlich + verfügt &os; über zwei eingebaute Pakete für das + sogenannte <foreignphrase>traffic shaping</foreignphrase> (dabei + handelt es sich die Steuerung des Bandbreitenverbrauchs): + &man.altq.4; sowie &man.dummynet.4;. Dummynet steht traditionell + in enger Verbindung mit <acronym>IPFW</acronym>, während + <acronym>ALTQ</acronym> gemeinsam mit + <acronym>IPF</acronym>/<acronym>PF</acronym> eingesetzt wird. + Gemeinsam ist allen Firewallpaketen (IPF, IPFW sowie PF), dass sie + Regeln einsetzen, um den Transfer von Datenpaketen auf und von + Ihrem System zu regeln. Unterschiedlich sind aber die Art und + Weise, wie dies realisiert wird. Auch die für diese Regeln + verwendete Syntax ist unterschiedlich.</para> + + <para>&os; überlässt es dem Anwender, das Firewallsystem + zu wählen, dass seinen Anforderungen und Vorlieben am Besten + entspricht. Keines der im Basissystem enthaltenen Firewallpakete + wird dabei als <quote>das beste</quote> angesehen.</para> + + <para>IPFILTER hat etwa den Vorteil, dass dessen + zustandsabhängige Regeln relativ einfach in einer + <acronym>NAT</acronym>-Umgebung implementiert werden können. + Außerdem verfügt es über einen eigenen FTP-Proxy, + der die Erstellung von sicheren Regeln für ausgehende + FTP-Verbindungen vereinfacht.</para> + + <para>Da alle Firewalls auf der Untersuchung der Werte + ausgewählter Kontrollfelder von Datenpaketen basieren, ist es + für die Erstellung von Firewallregeln notwendig, die + Funktionsweise von <acronym>TCP</acronym>/IP zu verstehen. + Außerdem muss man dazu wissen, was die Werte der einzelnen + Kontrollfelder bedeuten und wie diese während einer + Verbindung eingesetzt werden. Eine gute Erklärung dieser + Thematik finden Sie unter <ulink + url="http://www.ipprimer.com/overview.cfm"></ulink>.</para> + </sect1> + + <sect1 id="firewalls-pf"> + <title>Paket Filter (PF) von OpenBSD und + <acronym>ALTQ</acronym></title> + + <indexterm> + <primary>firewall</primary> + + <secondary>PF</secondary> + </indexterm> + + <para>Im Juli 2003 wurde <acronym>PF</acronym>, die + Standard-Firewall von OpenBSD, nach &os; portiert und in die + &os;-Ports-Sammlung aufgenommen. Die erste &os;-Version, + die <acronym>PF</acronym> als Teil des Basisssytems enthielt, war + &os; 5.3 im November 2004. Bei <acronym>PF</acronym> + handelt es sich um eine komplette, vollausgestattete Firewall, + die optional auch <acronym>ALTQ</acronym> (Alternatives + Queuing) unterstützt. <acronym>ALTQ</acronym> bietet Ihnen + <foreignphrase>Quality of Service</foreignphrase> + (<acronym>QoS</acronym>)-Bandbreitenformung. Dadurch können + Sie, basierend auf Filterregeln, unterschiedlichen Diensten eine + bestimmte Bandbreite garantieren. Da das OpenBSD-Projekt bereits + über eine hervorragende Dokumentation verfügt, wurde das + PF-Handbuch nicht in dieses Kapitel aufgenommen.</para> + + <para>PF ist für folgende &os;-Versionen verfügbar:</para> + + <informaltable frame="none" pgwide="1"> + <tgroup cols="2"> + <thead> + <row> + <entry>&os;-Version</entry> + + <entry>PF-Verfügbarkeit</entry> + </row> + </thead> + + <tbody> + <row> + <entry>Versionen vor 4.X</entry> + + <entry>Für &os;-Versionen vor 4.X ist PF nicht + verfügbar.</entry> + </row> + + <row> + <entry>Alle Versionen des 4.X-Zweiges</entry> + + <entry>PF ist als Teil von KAME verfügbar.</entry> + </row> + + <row> + <entry>5.X-Versionen vor 5.3-RELEASE</entry> + + <entry>Für diese &os;-Versionen kann der Port + <filename role="package">security/pf</filename> + verwendet werden, um PF zu installieren. Da diese + &os;-Versionen aber nur für Entwickler und Personen + gedacht waren, die einen Einblick in die frühen + 5.X-Versionen haben wollten, wird Nutzern dieser + Versionen dringend empfohlen, Ihr System auf + 5.3-RELEASE oder neuer zu aktualisieren.</entry> + </row> + + <row> + <entry>5.3-RELEASE und neuer</entry> + + <entry>Seit 5.3-RELEASE ist PF Teil des Basissystems. + Benutzen Sie daher <emphasis>nicht</emphasis> den + Port <filename role="package">security/pf</filename>, + da dieser unter diesen Versionen nicht funktioniert. + Verwenden Sie stattdessen das im Basissystem enthaltene + &man.pf.4;.</entry> + </row> + </tbody> + </tgroup> + </informaltable> + + <para>Weitere Informationen finden Sie unter + <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para> + + <para>Das PF-Benutzerhandbuch von OpenBSD finden Sie hier: <ulink + url="http://www.openbsd.org/faq/pf/"></ulink>.</para> + + <warning> + <para>PF auf Systemen mit &os; 5.X ist auf dem Stand von + OpenBSD 3.5. Das in der &os;-Ports-Sammlung enthaltene + PF ist hingegen auf dem Stand von OpenBSD 3.4. Beachten + Sie diesen Umstand, wenn Sie das Benutzerhandbuch lesen.</para> + </warning> + + <sect2> + <title>PF aktivieren</title> + + <para>PF ist in Standardinstallationen von &os; 5.3 oder + neuer als eigenes, zur Laufzeit ladbares Kernelmodul enthalten. + Das System lädt das PF-Kernelmodul automatisch, wenn die + Anweisung <literal>pf_enable="YES"</literal> in + <filename>/etc/rc.conf</filename> enthalten ist. Das ladbare + Kernelmodul wurde mit aktivierter &man.pflog.4;-Protokollierung + erstellt.</para> + + <note> + <para>Das Kernelmodul geht davon aus, dass die Einträge + <literal>options INET</literal> sowie + <literal>device bpf</literal> in Ihrer Kernelkonfigurationsdatei + vorhanden sind. Haben Sie <literal>NOINET6</literal> nicht + definiert, benötigen Sie (etwa in &man.make.conf.5;) + zusätzlich die Option <literal>options INET6</literal>.</para> + </note> + </sect2> + + <sect2> + <title>Kernel-Optionen</title> + + <indexterm> + <primary>kernel options</primary> + + <secondary>device pf</secondary> + </indexterm> + + <indexterm> + <primary>kernel options</primary> + + <secondary>device pflog</secondary> + </indexterm> + + <indexterm> + <primary>kernel options</primary> + + <secondary>device pfsync</secondary> + </indexterm> + + <para>Es ist nicht zwingend nötig, dass Sie PF durch die + Angabe der folgenden Optionen in den &os;-Kernel kompilieren. + Kompilieren Sie die PF-Unterstützung in Ihren Kernel, so + wird das Kernelmodul <emphasis>nie</emphasis> verwendet werden. + Die folgenden Angaben dienen daher nur als + Hintergrundinformationen.</para> + + <para><filename>/usr/src/sys/conf/NOTES</filename> enthält + Beispiele für die Kernelkonfigurationsoptionen von PF:</para> + + <programlisting>device pf +device pflog +device pfsync</programlisting> + + <para><literal>device pf</literal> aktiviert die Unterstützung + für die <quote>Packet Filter</quote>-Firewall.</para> + + <para><literal>device pflog</literal> aktiviert das optionale + &man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren + des Datenverkehrs über einen &man.bpf.4;-Deskriptor + dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien + auf Ihre Platte zu speichern.</para> + + <para><literal>device pfsync</literal> aktiviert das optionale + &man.pfsync.4;-Pseudonetzwerkgerät für die + Überwachung von <quote>Statusänderungen</quote>. + Da es sich dabei nicht um einen Bestandteil des Kernelmoduls + handelt, muss diese Option auf jeden Fall in den Kernel kompiliert + werden, bevor man sie verwenden kann.</para> + + <para>Diese Einstellungen werden erst dann übernommen, wenn + man einen Kernel mit diesen Optionen kompiliert und + installiert.</para> + </sect2> + + <sect2> + <title>Verfügbare rc.conf-Optionen</title> + + <para>Um PF beim Systemstart zu aktivieren, benötigen Sie die + folgenden Einträge in <filename>/etc/rc.conf</filename>:</para> + + <programlisting>pf_enable="YES" # PF aktivieren(Modul, wenn nötig, aktivieren) +pf_rules="/etc/pf.conf" # Datei mit Regeldefinitionen für pf +pf_flags="" # zusätzliche Parameter für den Start von pfctl +pflog_enable="YES" # stare pflogd(8) +pflog_logfile="/var/log/pflog" # wo soll pflogd die Protokolldatei speichern +pflog_flags="" # zusätzliche Parameter für den Start von pflogd</programlisting> + + <para>Wenn Sie ein lokales Netzwerk hinter dieser Firewall + betreiben, und Pakete für dessen Rechner weiterleiten oder + NAT verwenden wollen, benötigen Sie zusätzlich die + folgende Option:</para> + + <programlisting>gateway_enable="YES" # LAN Gateway aktivieren</programlisting> + </sect2> + + <sect2> + <title><acronym>ALTQ</acronym> aktivieren</title> + + <para><acronym>ALTQ</acronym> muss vor der Verwendung in den + &os;-Kernel kompiliert werden. Beachten Sie, dass + <acronym>ALTQ</acronym> nicht von allen verfügbaren + Netzwerkkartentreibern unterstützt wird. Sehen Sie daher + zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese + Funktion unter Ihrer &os;-Version unterstützt. Die + folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym> + sowie alle Zusatzfunktionen:</para> + + <programlisting>options ALTQ +options ALTQ_CBQ # Class Bases Queuing (CBQ) +options ALTQ_RED # Random Early Detection (RED) +options ALTQ_RIO # RED In/Out +options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC) +options ALTQ_PRIQ # Priority Queuing (PRIQ) +options ALTQ_NOPCC # Wird von SMP benötigt</programlisting> + + <para><literal>options ALTQ</literal> aktiviert das + <acronym>ALTQ</acronym>-Framework.</para> + + <para><literal>options ALTQ_CBQ</literal> aktiviert das + <foreignphrase>Class Based Queuing</foreignphrase> + (<acronym>CBQ</acronym>). <acronym>CBQ</acronym> erlaubt es, die + Bandbreite einer Verbindung in verschiedene Klassen oder + Warteschlangen zu unterteilen, um die Priorität von + Datenpaketen basierend auf Filterregeln zu ändern.</para> + + <para><literal>options ALTQ_RED</literal> aktiviert + <foreignphrase>Random Early Detection</foreignphrase> + (<acronym>RED</acronym>). <acronym>RED</acronym> wird + zur Vermeidung einer Netzwerkverstopfung verwendet. Dazu + ermittelt <acronym>RED</acronym> die Größe der + Warteschlange und vergleicht diesen Wert mit den minimalen + und maximalen Grenzwerten der Warteschlange. Ist die + Warteschlange größer als das erlaubte Maximum, + werden alle neuen Pakete verworfen. Getreu seinem Namen + verwirft <acronym>RED</acronym> Pakete unterschiedlicher + Verbindungen nach dem Zufallsprinzip.</para> + + <para><literal>options ALTQ_RIO</literal> aktiviert + <foreignphrase>Random Early Detection In and + Out</foreignphrase>.</para> + + <para><literal>options ALTQ_HFSC</literal> aktiviert den + <foreignphrase>Hierarchical Fair Service Curve</foreignphrase> + -Paketplaner. Weitere Informationen zu <acronym>HFSC</acronym> + finden Sie unter <ulink + url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para> + + <para><literal>options ALTQ_PRIQ</literal> aktiviert + <foreignphrase>Priority Queuing</foreignphrase> + (<acronym>PRIQ</acronym>). <acronym>PRIQ</acronym> + lässt Verkehr einer Warteschlange mit höherer + Priorität zuerst durch.</para> + + <para><literal>options ALTQ_NOPCC</literal> aktiviert die + <acronym>SMP</acronym> Unterstützung von + <acronym>ALTQ</acronym>. Diese Option ist nur auf + <acronym>SMP</acronym>-System erforderlich.</para> + </sect2> + </sect1> + + <sect1 id="firewalls-ipf"> + <title>Die IPFILTER-Firewall (IPF)</title> + + <para>Dieses Kapitel ist noch nicht übersetzt. + Lesen Sie bitte <ulink + url="&url.books.handbook.en;/firewalls-ipf.html"> + das Original in englischer Sprache</ulink>. Wenn Sie helfen + wollen, dieses Kapitel zu übersetzen, senden Sie bitte + eine E-Mail an die Mailingliste &a.de.translators;.</para> + </sect1> + + <sect1 id="firewalls-ipfw"> + <title>IPFW</title> + + <para>Dieses Kapitel ist noch nicht übersetzt. + Lesen Sie bitte <ulink + url="&url.books.handbook.en;/firewalls-ipfw.html"> + das Original in englischer Sprache</ulink>. Wenn Sie helfen + wollen, dieses Kapitel zu übersetzen, senden Sie bitte + eine E-Mail an die Mailingliste &a.de.translators;.</para> + </sect1> </chapter> <!-- |