FreeSWAN / IPTables und dyn. IPs
Hallo Liste, kann mir jemand erklären, wie die mit IPSec verschlüsselten Pakete die Firewall passieren, nachdem sie entschlüsselt werden? habe ich dass richtig verstanden: Die Pakete werden vom Interface ipsecX verschlüsselt und dann an das zugehörige ethX weitergegeben, welches das Paket verschickt. Eingehende Pakete kommen verschlüsselt an ethX an und werden nach ipsecX geforwarded, wo sie entschlüsselt werden. Meine Frage: Wo greift die Firewall ein? Ich habe eine Connection-Definition in Freeswan für Roadwarrior mit dynamischer IP (Authentifizierung über Zertifikate). Die Telekom weisst jedem Kunden eine öffentliche IP zu. wie kann ich nun verhindern, dass andere Clients mit öffentlicher IP in mein priv. Netz können? Danke schonmal Andreas
[Andreas Thierer]:
Hallo Liste,
kann mir jemand erklären, wie die mit IPSec verschlüsselten Pakete die Firewall passieren, nachdem sie entschlüsselt werden?
Kannst du das mal ein wenig präzisieren? Wie sollen verschlüsselte Pakete etwas passieren, nachdem sie entschlüsselt wurden? Dann sind sie doch nicht mehr verschlüsselt.
habe ich dass richtig verstanden: Die Pakete werden vom Interface ipsecX verschlüsselt und dann an das zugehörige ethX weitergegeben, welches das Paket verschickt. Eingehende Pakete kommen verschlüsselt an ethX an und werden nach ipsecX geforwarded, wo sie entschlüsselt werden.
Meine Frage: Wo greift die Firewall ein?
An dem Input- oder Output-Device, das du in der entsprechenden Regel angibst. Gibst du kein Device an, gilt die betreffende Regel für alle vorhandenen Devices. In der Regel reicht es aus, wenn du an ethX (oder bei DSL: pppX !) für die Authentifizierung TCP-Port 500 freigibst und für den Datenverkehr das Protokoll ESP (-p 50) (jeweils für Forward). Das heißt mit anderen Worten: Dein Paketfilter hat die betreffenden Pakete, die zu ipsec gehen sollen (also Protokoll 50), gefälligst ungehindert durchzulassen. Und andere Richtung natürlich auch. Sie soll also gerade _nicht_ eingreifen ;-)
Ich habe eine Connection-Definition in Freeswan für Roadwarrior mit dynamischer IP (Authentifizierung über Zertifikate). Die Telekom weisst jedem Kunden eine öffentliche IP zu. wie kann ich nun verhindern, dass andere Clients mit öffentlicher IP in mein priv. Netz können?
IPTables kann mit MAC-IDs umgehen. Filter doch die einkommenden Pakete nach der MAC-ID des Absenders (deines Road Warriors), wenn du es denn brauchst. Allerdings kann man die MAC-ID auch immer noch fälschen, und es dürfte einfacher sein, die gültige/erlaubte MAC-ID herauszufinden als den passenden RSA-Key für die Authentifizierung. Und ohne diesen Key bekommt niemand von außen eine Verbindung zu deinem IPSec aufgebaut, egal ob da noch eine Firewall ist oder nicht. Du musst eher alles andere Blocken, was nicht über Protokoll 50 reinkommt, da lauern wesentlich mehr Angriffsgefahren. -- Gruß MaxX
participants (2)
-
Andreas Thierer
-
Matthias Houdek