Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
• "source routed frames" enthalten im Header den Weg, den das Paket auf<br />
dem Weg durch das Internet nehmen soll. Vielfach ist es so möglich, Sperren<br />
zu umgehen ohne Log-Events auszulösen.<br />
• Der bekannte OOB-BUG ist auf eine zweideutige Interpretation des URG-<br />
Flags der ursprünglichen RFC 793 <strong>und</strong> der "neuen" RFC 1122<br />
<strong>zurück</strong>zuführen. (Microsoft mal wieder)<br />
• Spoofing, also das vortäuschen einer internen Adresse auf einem externen<br />
Interface ist eine noch häufig unterschätzte Möglichkeit, geringfügige Fehler<br />
in einer <strong>Firewall</strong> auszunutzen.<br />
• MBONE Paket-Kapselung erfordert eine besonders sorgfältige Auswahl <strong>und</strong><br />
Konfiguration der <strong>Firewall</strong>, da viele Filteroptionen in einigen <strong>Firewall</strong>-Routern<br />
nicht angeboten werden. Das betrifft sowohl gekapselte AppleTalk, IP-, oder<br />
IPX-Pakete.<br />
• Paketkapselung von IP-Paketen in ICMP führte bei der NAI <strong>Firewall</strong> 5.0 zu<br />
einem DoS Attack.<br />
• Angriff über eine große Zahl von Fragmenten, um die Zahl der Netzwerkbuffer<br />
zu erschöpfen, bevor die Reassemblierung ausgeführt wird. Hierbei kann<br />
durch Vortäuschung einer langsamen Verbindung die Verweildauer in vielen<br />
Stacks erhöht werden, wobei die Performance stark leidet.<br />
• Angriff mit einem Zufallszahlengenerator. Es werden hierbei ausschließlich<br />
die Prüfsumme, Länge <strong>und</strong> das IP-Offsetfeld korrekt gesetzt. Dieser Angriff<br />
führt zu einer großen Zahl von Warnmeldungen in der <strong>Firewall</strong>, da hierbei<br />
keinerlei Wiederholungen vorkommen. Lücken, die die <strong>Firewall</strong> nicht abdeckt,<br />
weil sie Stateful Packet Filter-Architektur besitzt, führen dann leicht zu einem<br />
erfolgreichen DoS auf dem Server dahinter. Gerade die als besonders schnell<br />
getesteten <strong>Firewall</strong>s versagen hierbei oft. Fehlerhafte Netzwerkkarten oder<br />
Routersoftware, manchmal auch Kernel selber, erzeugen im Netz ähnliche<br />
Pakete. Unerklärliche, nicht reproduzierbare Phänomene <strong>und</strong> viel<br />
Zeitaufwand sind nötig, um den Störenfried ausfindig zu machen. Besser ist<br />
es jedoch, man verzichtet gleich auf empfindliche Server, Drucker <strong>und</strong><br />
Desktop-Betriebssysteme.<br />
• Angriffe 1-10 <strong>und</strong> ihre Untervarianten lassen sich darüber hinaus auch noch<br />
(zufällig) miteinander kombinieren. Die Zahl der möglichen Varianten ist sehr<br />
hoch, die Zahl der sinnvollen Varianten beschränkt sich auf ca. 130 Stück.<br />
<strong>Firewall</strong>s mit dynamischen Regeln werden hierbei hart beansprucht <strong>und</strong> bis<br />
an die Leistungsgrenze strapaziert. Hierbei treten DoS-Phänomene auf, die<br />
von vielen <strong>Firewall</strong>-Testern/Zertifizierern nicht getestet werden können.<br />
Wie erzeuge ich DoS Pakete ?<br />
Nun, das ist eine berechtigte Frage. Hierzu müssen Sie zunächst ROOT Zugriff auf einen<br />
UNIX Server haben. Dann steht es Ihnen frei, dies entweder nach den Beispielen<br />
bekannter EXPLOITS von z.B. http://www.rootshell.com nach zu programmieren. RAW<br />
Sockets unter C sind aber nicht jedermanns/fraus Sache. In PERL mit dem Toolkit<br />
net::rawip ist das viel, viel einfacher zu realisieren. Sie finden das Toolkit hier<br />
http://quake.skif.net/RawIP/, oder auf Sergey Kolchev's Homepage in der Ukraine,<br />
http://www.ic.al.lg.ua/~ksv/. Hier nur ein paar Beispiele. Sie brauchen diese nur in ein<br />
Verzeichnis zu kopieren, mit chmod u+x .... die Executable Rechte zu vergeben - <strong>und</strong><br />
können sofort einen Angriff starten (aber bitte aussschließlich nur auf Server im<br />
Intranet....diese Angriffe können nämlich von vielen Routern/<strong>Firewall</strong>s entdeckt werden)<br />
Falls Sie hierzu irgendwelche Fragen haben, es gibt auch eine ausführliche FAQ dazu, wo<br />
alle Anfängerfragen erläutert werden, darunter auch diejenige, wie ich mit diesem Toolkit<br />
gespoofte IP-Pakete erzeuge, bei denen die Absendeadresse gefälscht ist. Aber Vorsicht,<br />
viele Provider können Spoofing bestimmter IP-Nummernbereiche erkennen, andere leider<br />
nicht....<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins