direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Sie sind hier

TU Berlin

Inhalt des Dokuments

FWA - FireWall Analyzer

Das Forschungsprojekt Firewallanalyzer beschäftigt sich mit der Analyse, dem Test und der Rekonstruktion von Paketfilterlisten in Firewalls.

Paketfilterregellisten als Spezialfälle der Zugangskontrollisten erlauben Paketfiltern auf der Basis der Eigenschaften von Netzwerkpaketen benutzerdefinierte Entscheidungen zu treffen und ggf. in den Netzwerkverkehr einzugreifen bzw. ihn zu verändern.

Die Regeln in der Paketfilterliste bestehen typischerweise aus einem Bedingungs- und einem Aktionsteil. Der Bedingungsteil wertet Eigenschaften der Netzwerkpakete sowie Zustandsinformationen des Paketfilters zu einem Wahrheitswert aus. Wenn der Bedingungsteil zutrifft, wird der Aktionsteil ausgeführt, der Einfluss auf den Netzwerkverkehr nimmt und ggf. ein endgültiges Urteil über das Paket trifft.

Als Zugeständnis für die Benutzerfreundlichkeit der Regellisten wird keine Disjunktheit der Regelbedingungen gefordert. Dies führt bei mehreren zutreffenden Regeln möglicherweise zu widersprüchlichen Entscheidungen. Als Lösung wird normalerweise eine Ordnung der Regeln in der Reihenfolge der Auswertung vorgenommen. Die Ornung legt fest, welche Regel sich durchsetzt.

Um sicherzustellen, dass für jedes Paket eine Regel zutrifft und somit eine Entscheidung über das Paket getroffen wird, sehen die Regellisten eine sogenannte Default-Regel vor, die dann angewendet wird, wenn keine andere Regel zutrifft.

Aus der Sicht des Paketfilters ist es dem Benutzer unmöglich eine inkonsistente
Paketfilterregelliste zu definieren, da über die Reihenfolge jeder Widerspruch aufgelöst werden kann und für unberücksichtigte Eigenschaften die Default-Regel wirksam wird.

Aus der Sicht des Benutzers, ist es möglich eine inkonsistente Regelliste zu definieren, wenn unereichbare Regeln als eine ungewünschte Inkonsistenz gewertet werden. Solche unerreichbaren Regeln sind in größeren Regellisten schwer zu finden. Genau dieses Auffinden von unerreichbaren Regeln ist eine der Leistungen des Firewallanalyzers.

Weiterhin erlaubt der FWA eine Auswertung der Paketfilterregelliste und Produktion einer korrespondierenden Testvektorliste, die den Paketfilter an den unstetigen Stellen seines Verhaltens testen lässt. Diese Testvektorliste soll mit Hilfe der Werkzeuge FWTStrategy und FWTest einen systematischen Test von Paketfiltern erlauben.

Lupe

Das Bild zeigt das Zusammenwirken der Werkzeuge FWA, FWTStrategy und FWTest.Die Regellisten, die als Teil der Konfiguration (Config) in der Firewall FW zur Anwendung kommen, werden vom FWA analysiert. Neben Informationen zur Konsistenz und einer umgewandelten Regelliste (Config') produziert FWA die Testvektoren, die im FWTest-Aufbau verwendet werden, um die Firewall FW mit Netzwerkprotokollflüssen zu stimulieren und ihre Reaktion zu prüfen und Abweichungen anzuzeigen. Die Teststrategie FWTStrategy ist in Form von Testskripten realisiert und bildet das allgemeine Testgerüst.

Des weiteren erlaubt der FWA die Rekonstruktion einer Regelliste in eine disjunkte Normalform, die die gleiche Wirkung hat, wie die gegebene Regelliste. Mit Hilfe dieser Normalform lassen sich Änderungen in Regellisten in ihrer Wirkung vergleichen. Auf dieser Basis lässt sich ein Versionsverwaltungsystem von Paketfilterregellisten erstellen.

Der FWA existiert in einer prototypischen Implementierung für die Konfigurationssprache iptables/netfilter.

FWTStrategy und FWTest sind im Quellcode hier zu finden: svn://seclab.kbs.cs.tu-berlin.de/fwtest/trunk

Zusatzinformationen / Extras

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe

Ansprechpartner

Sebastian Koch
+49 30 314-73389
Raum EN 360