Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
einloggt) in schnellen Abständen an Arbeitsstationen in anderen Netzen. Der Swich merkt<br />
sich dann den "neuen" Aufenthaltsort des Servers (MAC) <strong>und</strong> leidet die Pakete der sich<br />
gerade einloggenden Arbeitsstation an den Recher des Angreifers weiter.<br />
In vielen Fällen reicht auch schon eine ARP-Impfung in die sich einloggende<br />
Arbeitsstation. Der Vorgang ist einfach. Ein ARP-Broadcast findet immer dann statt, wenn<br />
ein Host die MAC Adresse zu einer IP - Nummer auf dem LAN sucht. Die bei Microsoft<br />
(<strong>und</strong> einigen anderen Herstellern) fehlerhafte ARP-Implementierung nimmt auch<br />
Informationen an, wenn kein Broadcast ausgesendet wurde, also der Host keinen<br />
Informationsbedarf hat. Diese ARP-Impfung in den Host <strong>und</strong> MAC spoofing <strong>für</strong> den Switch<br />
führen dann dazu, daß der sich einloggende Host an einem völlig anderen Server<br />
anmeldet, das Paßwort übermittelt - <strong>und</strong> - dem Angreifer direkt in die Hände spielt.<br />
Selbstverständlich muß dann dieser Loginversuch scheitern, in der Praxis vermutet der<br />
User einen Tippfehler. Fehlgeschlagene Login-Versuche werden nicht ernst genommen.<br />
Oft hat ein Angreifer nach dem ersten Angriff schon das korrekte Paßwort erhalten, <strong>und</strong><br />
kann den Angriff stoppen, die Spuren beseitigen <strong>und</strong> erst einmal verschwinden. Spätere<br />
Nachforschungen in Logfiles werden keine Zusammenhänge aufdecken können.<br />
Der Systemadministrator sollte immer <strong>und</strong> unbedingt nach einem fehlgeschlagenen<br />
Loginversuch informiert, <strong>und</strong> das Paßwort schnellstens geändert werden. Viele Internet-<br />
Provider setzen Switches zum Schutz vor Sniffern ein, kennen aber die Tricks der<br />
Angreifer <strong>und</strong> die hierzu notwendigen Voraussetzungen meist nicht.<br />
Viele Provider haben mit DoS-Angriffen auf Switches zu kämpfen - diese werden häufig<br />
als Fehlfunktionen der Hardware gedeutet. Problematisch wird es, wenn ein Internet-<br />
Verkehrsknotenpunkt betroffen ist, wie z.B. DECIX oder ECRC. Ein Angreifer, der Zugang<br />
zu einem Host besitzt, der direkt an dem Switch angeschlossen ist, kann mit MAC<br />
Spoofing <strong>und</strong> ARP-Impfungen den Datenverkehr zwischen Providern an diesem<br />
Knotenpunkt völlig durcheinanderwürfeln.<br />
Die enorm hohen Bandbreiten erlauben es kaum, IP/MAC-Spoofing zu entdecken. Hier<br />
müssen besondere Maßnahmen ergiffen werden....<br />
Umgehung von Switching Routern<br />
Themen<br />
• Broadcast<br />
• Multicast<br />
• Diskless workstations<br />
Switches <strong>und</strong> Switching Router (Level-3/4) besitzen IP-Filter mit<br />
Verschlüsselungsmechanismen, die sogenannte VPN's bilden können. Normale<br />
Broadcast-Anfragen werden entweder geblockt oder gespooft (ARP..). Einige Broadcast-<br />
Protokolle werden aber zugelassen, z.B. zum simultanen Booten von h<strong>und</strong>erten von<br />
"diskless"-Arbeitsstationen. Der Mangel an Erfahrung mit den verschiedensten<br />
Broadcast/Multicast-Modellen <strong>und</strong> - Einstellungen führt dann dazu, daß Angreifer trotz<br />
Filter beliebige Daten in normalerweise nicht erreichbare Netze transferieren können.<br />
DoS-Angriffe auf Arbeitsstationen <strong>und</strong> Server sind somit immer noch möglich.<br />
Übersicht von Angriffsvarianten auf den TCP/IP-Stack<br />
Angriffe auf den TCP/IP-Stack gehören inzwischen zu den besonders häufigen<br />
DoS(Denial of Service)-Attacken. Unter Namen, wie OOB, NUKE, LAND, TEARDROP <strong>und</strong><br />
NEW FRAGMENTATION ATTACK bekannt geworden, führten diese zu ständigen<br />
Störungen in Intra- <strong>und</strong> Internet. Einige dieser Pakete werden von Routern <strong>und</strong> sogar von<br />
<strong>Firewall</strong>s nicht herausgefiltert, sodaß <strong>Firewall</strong>s ohne eigenen TCP/IP-Stack <strong>für</strong> ein- <strong>und</strong><br />
ausgehende Pakete (PROXY-<strong>Firewall</strong>s) hierbei das Betriebssystem nicht sichern können.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins