|
� Enable DoS Defense
/
Anmerkung: Diese Option ist in der Firmware-Version 2.3.1 (Build-Datum: Normal
Mode 22.01.2003 11:55:46.73), die zum Zeitpunkt der Erstellung dieser Anleitung
aktuell ist, nicht enthalten. Die Vorversion 2.3 vom 10.01.2003, die das DoS-defense
enthielt, wurde von DrayTek wegen Stabilitätsproblemen zurückgezogen. Selbst
wenn Sie also eine Firmware-Version verwenden, die das hier beschriebene Menu
enthält, können Sie es nicht verwenden.
Alle nachfolgenden Anregungen gelten daher nur für den Fall, dass DrayTek den
Menu-Punkt in eine künftige Firmware wieder einbaut und das ,DoS defense' dann
auch funktioniert.
Zunächst möchte ich darauf hinweisen, dass DrayTek bereits die Überschrift des
Menus mit ,DoS defense' nach meiner Auffassung unglücklich gewählt hat, denn bei
den einstellbaren Optionen geht es nicht nur darum, Angriffe abzuwehren, die Server-
Dienste stilllegen, sondern auch um Angriffe, die das angegriffene Systeme ausforschen
und für ihre Zwecke nutzbar machen wollen. Solche Angreifer möchten das
angegriffene System gerade nicht lahm legen; ihnen geht es im Gegenteil eher darum,
möglichst nicht aufzufallen, um das Opfer missbrauchen zu können. Ich habe
daher die Angriffsformen, die der Vigor abwehren soll, in ,Forscher' und ,Blockierer'
unterteilt, ohne dabei verkennen zu wollen, dass ein allzu intensiver Forscher auch
zum Blockierer werden kann. Die Angriffsformen werden in den Begriffserläuterungen
erklärt.
Wichtig ist ferner, dass das ,DoS defense' völlig unabhängig von der mit den Filter
Sets einzustellenden IP-Firewall arbeitet. Die DoS-defense-Einstellungen werden
daher auch nicht über ,ipf view -r' angezeigt. Die von DrayTek festgestellten Stabilitätsprobleme
wundern mich aus diesem Grunde nicht. Der Einsatz von zwei unabhängigen
Firewalls im Router scheint mir genauso problematisch zu sein, wie die
Installation von zwei Virenscannern oder zwei Desktop-Firewalls auf demselben
Computer. Durch solche Maßnahmen erreicht man im Zweifel keine höhere, sondern
eher eine geringere Sicherheit, weil sich die Schutzprogramme wechselseitig behindern.
Eine ganze Reihe der Gefahren, die das DoS defense abwehren will, ließen
sich durch die IP-Firewall deutlich besser abfangen, wenn man alle Möglichkeiten
dieser Firewall nutzte (IP-Options, fragments, flags, icmp-type etc.). So kann diese
52
___________________________
Beispielfilterset für die Router Firewall
Firewall nicht nur Pakete abfangen, bei denen irgendeine IP-Option gesetzt ist, sondern
detailliert nach den gesetzten Optionen (lsrr, ssrr, sec usw. usw.) filtern. Sie
merken an dieser Stelle vielleicht, dass mich die Einführung des ,DoS defense Setup'
nicht gerade zu Begeisterungsstürmen hingerissen hat. Es wäre nach meiner Auffassung
wesentlich besser, die Möglichkeiten der IP-Firewall weiter auszubauen und
sich im DoS defense auf die eigentlichen Denial of Service-Attacken (Port Scan,
flood) zu konzentrieren.
|
