Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Toolkits, wie Ballista oder ipsend, die verschiedenste Varianten von gefährlichen TCP/IP-<br />
Paketen simulieren, indem sie wichtige Protokolle mit verschiedensten Flags,<br />
Paketlängen, Fragmentierungen <strong>und</strong> Verschachtelungen (interlaced) <strong>und</strong> Zufallszahlen<br />
kombinieren, eigenen sich nicht nur <strong>für</strong> DoS-Angriffe, sondern auch zur Bestimmung des<br />
<strong>Firewall</strong>-Herstellers <strong>und</strong> evtl. Filtereinstellungen <strong>und</strong> der Server - Betriebssysteme hinter<br />
der <strong>Firewall</strong>. Mit Hilfe eines Sniffers werden dann die Antwortpakete des Servers hinter<br />
der <strong>Firewall</strong> ausgewertet <strong>und</strong> somit die Filter-Einstellungen der <strong>Firewall</strong> bestimmt.<br />
Aufgr<strong>und</strong> der ISN (Initial Sequence Number) <strong>und</strong> SSN (Serial Sequence Number) der<br />
Antwortpakete kann dann auf das Betriebssystem geschlossen werden.<br />
Es lassen sich so auch ganz gezielt Fehler bei den dynamischen Filterregeln oder im<br />
PROXY - Mechanismus herausfinden <strong>und</strong> weiter ausnutzen, z.B. um die <strong>Firewall</strong> an die<br />
Grenzen ihrer Leistungsfähigkeit zu bringen. Die eintretenden Effekte sind dann doch sehr<br />
vielfältig. Sie reichen von DoS- bis hin zu möglichen "buffer overflow"-Angriffen <strong>und</strong> einem<br />
Effekt, der nur bei wenigen <strong>Firewall</strong>s/Paketfiltern auftritt, nämlich zu Fehlfunktionen bei<br />
den dynamischen Filterregeln, wenn die Leistungsfähigkeit ihre Grenze erreicht.<br />
Konkreten Angriffen geht oft eine Vielzahl solcher Untersuchungen voraus. Viele <strong>Firewall</strong>-<br />
Hersteller lassen sich zertifizieren, d.h. die <strong>Firewall</strong> wird auf solche Probleme (neben<br />
vielen anderen) überprüft. Eine solche detaillierte Prüfung, welches das BSI<br />
(http://www.bsi.b<strong>und</strong>.de) von Siemens hat erstellen lassen zeigt, das inzwischen alle<br />
<strong>Firewall</strong>-Hersteller diese Probleme beseitigt haben, leider lassen sich aber Reaktionen auf<br />
komplexe dynamische <strong>Firewall</strong>regeln unter Vollast nicht testen. Die Zahl der möglichen<br />
(sinnvollen) Kombinationen bei TCP/IP-Angriffen allein liegt über 130. Wenn also eine<br />
<strong>Firewall</strong> komplexe Regelwerke abzuarbeiten hat, steigt die Wahrscheinlichkeit dramatisch,<br />
daß ein DoS-Angriff erfolgreich ist. Filtert man zu wenige Pakete, so ist die<br />
Wahrscheinlichkeit eines Einbruchs oder DoS-Angriffs auf Server dahinter sehr hoch.<br />
Diese Angriffsvarianten lassen sich mit o.a. Werkzeugen simulieren. Sie sind Bestandteil<br />
von guten Security-Scannern. Warum besonders bei den Microsoft Betriebssystemen<br />
95/98 <strong>und</strong> NT solche Probleme immer noch in so großer Zahl auftreten, bleibt ein offenes<br />
Geheimnis.<br />
DoS-Angiffe über ICMP, IGMP<br />
Themen<br />
• ICMP Source Quench<br />
• Plausibilitätskontrollen <strong>und</strong> Datenaustausch<br />
• CISCO PIX Router<br />
ICMP, IGMP sind eigene Protokolle, die auf IP aufsetzen <strong>und</strong> dem Informationsaustausch<br />
zwischen Routern über Leitungszustände, Erreichbarkeiten von Hosts <strong>und</strong> der Regelung<br />
von Geschwindigkeiten dienen.<br />
Setzt man einfache, ungesicherte UNIX oder NT-Server als Router ein, so hat man ein<br />
großes Problem mit dem differenzierten Handling von ICMP Codes. Beispielsweise ist ein<br />
Angreifer in der Lage, einem NT-Server oder UNIX-Server mitzuteilen, daß die<br />
Übertragungsgeschwindigkeit zu hoch sei (ICMP SOURCE QUENCH), woraufhin dieser<br />
die Sendegeschwindigkeit beispielsweise halbiert. Mehrere solcher Pakete eines<br />
Angreifers bringen jeden Server unweigerlich dazu, seine Arbeit einzustellen. Gute Router<br />
(CISCO) haben "counter intelligence"-Algorithmen eingebaut, die genau dieses verhindern<br />
sollen. Normale Betriebssysteme beherrschen evtl. noch die Differenzierung zwischen<br />
einigen ICMP-Codes, ohne jedoch darauf intelligent antworten zu können. Hierzu gehören<br />
beispielsweise NT <strong>und</strong> viele UNIX-Derivate. <strong>Firewall</strong>s, die auf dem TCP/IP-Stack dieser<br />
Betriebssysteme aufsetzen, sind immer in Gefahr, einem DoS-Angriff zum Opfer zu fallen.<br />
Das Abschalten von ICMP Source Quench ist nicht zu empfehlen, da z.B beim schnellen<br />
Auftreffen von Paketen auf eine langsame Leitung diese völlig überlastet würde.<br />
Andererseits läuft man mit ICMP Source Quench in Gefahr, Opfer eines DoS-Angriffs zu<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins