Verbindungsszenarien

Aus xinux.net
Zur Navigation springen Zur Suche springen

Verbindungenszenarien

Eingehende Tcp/Ip Verbindungen

Die Regel für eingehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header akzeptieren, das heisst, es muss auch das Paket, welches nur ein gesetztes SYN Flag hat, durchlassen.

Die Regel für ausgehende Pakete muss explizit Pakete, die lediglich das SYN Flag im TCP Header gesetzt haben, ausschliessen um zu verhindern das von innen nach aussen eine Verbindungsaufnahme erfolgen kann.



Ausgehende Tcp/Ip Verbindungen

Die Regel für ausgehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header akzeptieren. Das heisst, es muss auch das Paket, welches nur das SYN Flag gesetzt hat, durchlassen. Die Regel für eingehende Pakete muss explizit Pakete, die lediglich das SYN Flag im TCP Header gesetzt haben, ausschliessen, um zu verhindern, dass von aussen nach innen eine Verbindungs- aufnahme erfolgen kann.


Ausgewählte TCP Dienste auf die diese Regeln zutreffen.

TCPDienste.jpg TCPDienste2.jpg

UDP Problematik

Da UDP basierende Dienste verbindungslos sind, ergibt sich das Problem, dass man mit herkömmlichen Mitteln nicht bestimmen kann, welche Seite die Verbindung initiiert hat.

Ausgewählte UDP Dienste auf die diese Regeln zutreffen:

UDPDienste.jpg

Sonderfälle

Die Nachfolgenden Dienste fallen nicht in die oben genannten Kategorien und werden deshalb gesondert behandelt.

Nameservices (domain Port 53)

Client <---> Server
Bei Anfrage eines Clients an einen Nameserver verwendet der Client als Source Port einen Wert ab 1024 und als Destination Port 53 als Protokoll wird UDP verwendet.
Bei Verbindungsproblemen oder wenn das Paket größer als 512 Byte ist erfolgt die Anfrage auf TCP Basis.
Manche Unixe verwenden ausschließlich TCP.
Server <---> Server
Bei Lookup-Anfrage eines Nameservers an einen Nameserver verwendet der Client als Source Port einen Wert 53, als Destination Port 53 und als Protokoll wird UDP verwendet.
Seit BIND 8 verhält sich der anfragende Nameserver wie ein normaler Client (kann per Konfiguration geändert werden).
Bei Zonentransfers
verwendet der Client (meist sekundäre Nameserver)
den Source Port ab 1024 und der Server (meist primärer Nameserver)
den Port 53 als Protokoll wird TCP verwendet.

Ftp Dienst ( ftp 21 ftp-data 20)

Beim Ftp Dienst werden zwei Kanäle zwischen Client und Server benutzt. Der Verbindungsaufbau wird wie eine ganz normale TCP Verbindung initiiert. Als Source Port wird ein Wert größer gleich 1024 benutzt und als Destination Port 21. Diese Verbindung bleibt bestehen und wird als Steuerkanal benutzt.

Danach gibt es zwei Möglichkeiten :

Aktives FTP

Beim aktiven FTP teilt der Client dem Server über den Steuerkanal einen Port oberhalb 1023 mit. Der Server geht darauf eine Verbindung zum Client auf diesem Port ein. Über diesen Kanal werden die Daten ausgetauscht.


Passives FTP

Beim passiven FTP teilt der Client dem Server über den Steuerkanal das Schlüsselwort PASV mit. Der Server überträgt darauf einen Port ab 1024 der für den Datenkanal bereit steht. Daraufhin konnektiert der Client den Server auf diesem Port. Über diesen Kanal werden die Daten ausgetauscht.

Abgerufen von „https://xinux.net/index.php?title=Verbindungsszenarien&oldid=9865