Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
4 ein TCP 25 >1023<br />
Das Beispiel zeigt die Filterregeln, die einen Host hinter einem Paketfilter schützen sollen.<br />
Ein Client aus dem Internet kann eine Verbindung zu dem Host aufbauen, um e-Mail zu<br />
senden (Regel 12). Der Host selber darf Verbindungen zu anderen Hosts aufbauen, um e-<br />
Mails zu versenden. Regel (34). Was ist aber, wenn ein Angreifer mit einem Client von<br />
Port 25 aus einen beliebigen Port > 1023 auf dem Host erreichen will ? Nach Regel 4<br />
würde die Verbindung zugelassen werden. Ein Angriff wäre somit erfolgreich. Der kleine<br />
Zusatz in Regel 4 (ACK gesetzt) bedeutet gleichzeitig: SYN darf keinesfalls gesetzt sein !<br />
Dann ist nämlich der Verbindungsaufbau von Port 25 nach z.B. Port 8080 (WWW-<br />
PROXY-CACHE) des Hosts untersagt.<br />
Ein großes Problem ist die Behandlung von UDP. UDP kennt keine ACK-Bits, sodaß hier<br />
der Paketfilter immer wieder von neuem entscheiden muß, ob das Paket zulässig ist, oder<br />
nicht. UDP besitzt auch keine Prüfsummen, die eventuell verlorengegangene oder von<br />
einem Angreifer zusätzliche eingeschleuste Pakete entdecken könnten. Hier<strong>für</strong> gibt es<br />
TCPUDP Relays<br />
Für die Sicherheitsüberprüfung mit einem Portscanner bedeutet dieses, daß alle<br />
Kombinationen von Quellport <strong>und</strong> Zielport ebenfalls geprüft werden müssen. Das wären<br />
ungefähr 4.3 Milliarden Pakete (65536^2). Die Überprüfung mit nur einem Paket würde ca.<br />
1 Tag dauern (10 MBit). Portscanner überprüfen daher stets nur die Zielports unter<br />
Verwendung eines einzigen Quellports.<br />
Wie wichtig diese Überprüfung ist, zeigt sich an einem Einbruch in die Site von Wietse<br />
Venema, der Autor des TCP-WRAPPER ist. Ein Hacker hat den Quellcode so verändert,<br />
daß eine Rootshell aktiviert wird, sobald von einem bestimmten Quellport auf einen<br />
bestimmten Zielport des Wrappers zugegriffen wird. Ein normaler Portscanner hätte das<br />
Problem nicht erkannt. Umso wichtiger erscheint es, daß die <strong>Firewall</strong> "counter intelligence"<br />
Mechanismen besitzt, <strong>und</strong> nach einigen wenigen Portscans die Verbindung zu diesem<br />
Host sperrt ! Der Nachteil ist jedoch, daß die <strong>Firewall</strong>regeln schlecht überprüfbar sind, da<br />
stets die counter intelligence Mechanismen aktiv werden <strong>und</strong> die Sicherheitsüberprüfung<br />
verhindern.<br />
17.2 Sicherheitshinweise zur Generierung von <strong>Firewall</strong>regeln<br />
Es gibt im Internet einige Programme, PERL-Skripte mit HTML Interfaces, die<br />
entsprechend den Eingaben des Users fertige Regeln <strong>für</strong> z.B. <strong>LINUX</strong> IPFWADM, IPFW,<br />
IPCHAINS, IPFILTER, u.s.w. generieren. Diese Sites sind nicht speziell gesichert, <strong>und</strong> es<br />
besteht stets die Möglichkeit, daß Regeln falsch sind, weil der Generator von einem<br />
Angreifer verändert wurde. Auch Hinweise aus NEWSGROUPS (Hier meine<br />
Konfiguration) sind unbedingt auf Korrektheit zu überprüfen.<br />
18. Übersicht Filterregeln<br />
Hier nun eine Übersicht über alle häufig eingesetzten Protokolle, die ACK Bits <strong>und</strong><br />
Portnummern.<br />
18.1 Mail Dienste<br />
SMTP DMZ (e-Mail)<br />
SMTP ist ein Dienst, der auf TCP basiert SMTP-Empfänger benutzen Port 25, SMTP-<br />
Sender benutzen eine beliebige Portnummer über 1023.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins