Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Erstellt von Doc Gonzo - http://kickme.to/plugins<br />
saddr => '1.1.1.1',<br />
daddr => $opt_t<br />
},<br />
generic => {}<br />
});<br />
$p->optset(ip => { type => [@data] , data => [@data] });<br />
$p->send(0,$opt_n*1000);<br />
Um es nochmals klarzustellen: Diese Angriffe werden inzwischen von vielen<br />
Betriebssystemen, Routern <strong>und</strong> <strong>Firewall</strong>s erkannt. Probieren Sie diese Angriffe<br />
ausschließlich auf Servern in einem isolierten Netzwerk. Gerade Pakete, die fehlerhafte<br />
Prüfsummen generieren, bringen innerhalb einer Collision Domain viele TCP/IP Stacks<br />
von Arbeitsstationen oder insbesondere auch Netzwerkdruckern zum Absturz. Alle diese<br />
Pakete lassen sich z.B. auch mit der Broadcast Adresse 255.255.255.255 als Zieladresse<br />
oder mit Multicast - Adressen (224.255.255.255) generieren. Diese werden dann eventuell<br />
auch in benachbarte Netze übertragen, weil eventuell ein VLAN - Switch diese überträgt.<br />
Konfigurieren Sie Ihre Router im Intranet also stets so, daß die Broadcast Domains<br />
möglichst klein bleiben. Leider könnet es dann passieren, daß Windows NT PDC's <strong>und</strong><br />
BDC's in großen Netzwerken nicht mehr korrekt funktionieren. Entweder man setzt dann in<br />
jeder Abteilung <strong>Firewall</strong>s ein, die einen eigenen TCP/IP Stack besitzen, oder man schafft<br />
NT Server im Unternehmen einfach ab.....(Man merkt sicher, daß ich Microsoft Liebhaber<br />
bin ...aus Schaden wird man klüger ...)<br />
Ein weiteres Beispiel <strong>für</strong> einen möglichen Angriff auf z.B. die MS SQL 7.0 Datenbank in<br />
Backoffice wird in dem Kapitel backoffice beschrieben. Hier nun eine Darstellung, wie man<br />
Visual Basic <strong>für</strong> einen sogenannten replay attack verwenden kann.<br />
Es gibt die Möglichkeit, über Visual Basic Makro´s in Winword oder Excel Angriffe auf<br />
Server im Intranet zu starten. Es ist klar, daß man in einem solchen Makro nicht PERL mit<br />
den net::rawip Erweiterungen unauffällig verstecken kann. Man kann jedoch ein Netzwerk<br />
aufbauen, welches dieselben IP-Nummern besitzt, wie das zuvor mit Hilfe eines WWW-<br />
Server ausgek<strong>und</strong>schaftete Intranet des Unternehmens (Siehe z.B. http://www.littleidiot.de/cgi-bin/test.cgi).<br />
Danach werden die TCP/IP Pakete des Angriffs mit einem Sniffer<br />
aufgezeichnet. Dieser ist z.B. im Paket von Darren Reed enthalten. Damit kann man 1:1<br />
die Pakete aufzeichnen, <strong>und</strong> <strong>für</strong> einen sogenannten replay attack sichern. Danach<br />
verpackt man die Pakete in die bekannten DATA Zeilen in Basic. Da ein Angriff auf einen<br />
TCP/IP Stack nur wenige entscheidende Bytes enthalten muß, kann dieses BASIC Makro<br />
sehr klein gehalten werden. Nun muß man dieses Makro nur noch in WINWORD oder<br />
EXCEL Paken, <strong>und</strong> einem Mitarbeiter der Firma zuschicken. Dieser liest das Winword<br />
Dokument, <strong>und</strong> im gleichen Moment stehen die Server im Unternehmen oder auch<br />
h<strong>und</strong>erte von Arbeitsstationen still.<br />
DoS Angriffe auf <strong>Firewall</strong>s<br />
Wenn man sich die Website http://www.netcraft.com/security/diary.html mit besonderem<br />
Augenmerk auf <strong>Firewall</strong>-1 einmal anschaut, dann wird einem eventuell klar, daß hier<br />
Legionen von hochbezahlten Security Consultants jahrelang trotz teurem Auditing keine<br />
Fehler bemerkt haben sollten !. Diese z.B. auf der Website http://www.securityfocus.com<br />
erwähnten, äußerst einfachen Angriffe (UDP Paket auf Port 0 <strong>für</strong>t bei Solaris <strong>und</strong> <strong>Firewall</strong>-<br />
1 zu einem DoS!), sind jahrelang nicht bemerkt worden. Wenn man sich dabei vorstellt,<br />
daß jemand mit etwas Geduld <strong>und</strong> gespooften Paketen ein Unternehmen oder ein<br />
Warenhaus im Internet wochenlang oder monatelang vom Netz nehmen kann, ohne<br />
entdeckt zu werden, dann kann einem schon etwas mulmig werden.<br />
DoS-Angriffe anderer Art<br />
Themen<br />
• DoS auf SHOP-Anbieter