Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Systemadministrator eines Hosts durch die <strong>Firewall</strong> automatisch z.B. via e-Mail über<br />
Angriffe, die von seinem Host ausgehen informiert werden kann.<br />
Aktionen, die vom spy gestartet werden können<br />
DNS lookup <strong>und</strong> ein Abgleich mit einem reverse lookup, auch double reverse lookup<br />
genannt, ist ein unverzichtbares Mittel, festzustellen, ob eine IP-Adresse in einem<br />
Netzwerkbereichs des Internet offiziell eingetragen ist, oder nicht. Wenn dieser Vergleich<br />
negativ ist, dann wird automatisch eine Warnung generiert. Typisch <strong>für</strong> eine solche<br />
Warnung sind hauptsächlich Konfigurationsprobleme. Nur wenn in Verbindung mit einer<br />
solchen Warnung z.B. auch der Einsatz eines Portscanners aufgezeichnet wird, dann erst<br />
ist es notwendig, aktiv zu werden.<br />
Im folgenden soll die <strong>Firewall</strong> selber aktiv herausfinden, von welchem User der Angriff<br />
stammen könnte. Viele der Untersuchungen von spy liefern können falsche oder bewußt<br />
gefälschte Meldungen liefern. Dies sollte stets berücksichtigt werden, bevor besondere<br />
Maßnahmen ergriffen werden. Diese Tatsache sollte man stets im Hinterkopf behalten.<br />
identd ist ein Dienst, der versucht, dem registrierten TCP Paket einen User auf dem Host<br />
zuzuordnen, bei anderen Paketen ist dieser Dienst nicht einsetzbar. Wenn alle wie erhofft<br />
funktioniert, dann steht im Logfile der Name desjenigen Users auf dem Host, der die<br />
Verbindung initiiert hat. Diese Einträge sollte man <strong>für</strong> spätere Auswertungen aufbewahren.<br />
Fehlermeldungen, wie no such user oder connection refused sind Anzeichen da<strong>für</strong>, daß<br />
die Funtionen deaktiviert wurden.<br />
finger ist der Versuch, einem fremden UNIX Host die momentan eingeloggten User zu<br />
entlocken. Den Rückantworten ist der Username <strong>und</strong> einige Zusatzinformationen zu<br />
entnehmen, die dieser in eine .plan Datei seines Homeverzeichnisses geschrieben hat.<br />
rusers ist der Versuch festzustellen, von wo aus sich der User in den Host eingeloggt hat,<br />
<strong>und</strong> wie lange dieser schon aktiv oder unaktiv ist. (idle time)<br />
Ohne besondere Anweisungen an die <strong>Firewall</strong> werden alle diese Ausgaben in die Datei<br />
firewall.spy in dem Verzeichnis des Logfiles abgelegt. Wenn das Schlüsselwort mail sich<br />
in demselben notification level, wie das spy Schlüsselwort befindet, dann werden<br />
zusätzlich die Ergebnisse per e-Mail zugestellt.<br />
Hier ein paar Beispiele <strong>für</strong> eine Ausgabe in firewall.spy:<br />
FIREWALL COUNTER INTELLIGENCE REPORT, Aug 09 12:20:02<br />
Triggered by: (s 13) accept TCP 1.2.3.4:1065->193.194.195.196:telnet<br />
Host address: 1.2.3.4<br />
Host name: oval.office.gov<br />
identd information:<br />
User ID: mlevinski.<br />
finger information:<br />
[1.2.3.4]<br />
Login: mlevinski Name: Monica Levinski<br />
Directory: /home/unabom Shell: /bin/csh<br />
On since Wed Aug 9 10:27 (EST) on tty1<br />
No Mail.<br />
No Plan.<br />
Login: bclinton Name: Bill Clinton<br />
Directory: /home/bclinton Shell: /bin/bash<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins