TrafMeter :: TrafMeter als Firewall nutzen

TrafMeter als Firewall nutzen

Obwohl TrafMeter als Traffic Monitoring Software verkauft wird und zumeist mit einer separaten Firewall installiert wird, hat Trafmeter ebenfalls die Möglichkeit Pakete zu verweigern, da TrafMeter den gleichen Kern wie viele Firewalls besitzt.

Um diese Möglichkeiten zu zeigen, sollten wir mal einen typischen Anwendungsfall betrachten, bei dem TrafMeter die Aufgaben einer Firewall übernehmen kann. Ein Beispiel: Wir haben ein Netzwerk mit einem Gateway Server mit Windows 2003 Server als Betriebssystem und dem Routing and Remote Access Service (RRAS), der das NATing erledigt. Welche Pakete müssen nun verweigert werden, um den Gateway gegen Hacker zu schützen? Eine Lösung wäre die Einschränkung des Zugriffs auf alle Netzwerkdienste auf dem Gateway von allen nicht vertrauenswürdigen Netzwerken.

eingehende TCP-Verbindungen

Auf Basis des TCP Protokolls initialisiert ein Client eine Verbindung mit dem Server in dem er ein erstes TCP Paket mit dem SYN Flag sendet. Um eingehende Verbindungen zu unterbinden, benötigen wir also eine Regel die TCP Pakete mit einem SYN Flag sperrt, die von einem nicht vertrauenswürdigen Netzwerk kommen. Das schützt alle Netzwerkdienste auf dem Gateway, basierend auf dem TCP Protokoll.

eingehende UDP-Verbindungen

Beim UDP Protokoll sieht es etwas anders aus. Hier ist es schwieriger, anhand der Header Analyse den Client bzw. Server ausfindig zu machen. Grundsätzlich benutzen aber auf UDP basierende Netzwerkdienste die Ports von 1 bis 1024. Wenn nun UDP Pakete verweigert werden, die als Zieladresse die Gatewayadresse besitzen und die Ports im Bereich 1 bis 1024 angesprochen werden, wird dies eingehende UDP Verbindungen verhindern. Wenn Dienste Ports über 1024 verwenden, sollten zusätzliche Regeln erstellt werden.

ICMP-Pakete

Typischerweise beinhalten ICMP Pakete nicht das selbe Risio wie TCP oder UDP. Die meisten Firewalls blockieren trotzdem auch eingehende ICMP Echo Request Pakete um den Gateway vor Network Scannern zu verbergen. Wenn gewünscht, kann TrafMeter ebenfalls ICMP Pakete verweigern.

Zusammenfassung

Um Trafmeter als Firewall zu nutzen, muss ein einzelner Filter erstellt werden. Dieser Filter muss an erster Stelle in der Liste stehen und folgende Regeln enthalten:

Filter 1. firewall
N	IP Protokoll Typ	Ursprungsadresse	Ursprungsport	Zieladresse	Zielport	Beide Richtungen	Aktion	Zusätzliche Optionen
1	TCP	IP Adressen des WAN	Jeder	Mein Computer	Jeder	Nein	Verweigern	SYN
2	UDP	IP Adressen des WAN	Jeder	Mein Computer	1-1024	Ja	Verweigern
3	ICMP	IP Adressen des WAN		Mein Computer		Nein	Verweigern	Echo request

Anmerkung

Es muss der aktiver Verarbeitungsmodus gewählt werden, sonst ist das Verweigern von Paketen nicht möglich.
Sie sollten passives FTP verwenden wenn eingehende TCP Pakete mit SYN Flag verweigert werden.
Für Dienste die UDP Port über 1024 verwenden, müssen zusätzliche Regeln erstellt werden.
Verweigerte Pakete werden in %Program Files%\TMeter\Logs geloggt..