Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
einfacher <strong>und</strong> sinnvoller, diese auf dem Zielserver selber zu korrigieren, ein Filter ist dann<br />
nicht mehr notwendig.<br />
Für den Betrieb von mission critical Systemen ist es notwendig, Fehler schnell analysieren<br />
<strong>und</strong> korrigieren zu können. Wer zum Schutz vor DoS-Angriffen seines Betriebssystems<br />
erst auf die angepaßten Filter des <strong>Firewall</strong>herstellers warten muß, riskiert, daß<br />
wochenlang der Server immer wieder von Angreifern stillgelegt wird. Falls der Quellcode<br />
des Betriebssystems nicht vorliegt, ist es dann notwendig, separate Filter in den<br />
Datenstrom zu integrieren.<br />
Da Filter selber ebenfalls Ziele von buffer overflows sein können, sollten diese immer auf<br />
einer dedizierten Hardware laufen, <strong>und</strong> von zwei <strong>Firewall</strong>s gesichert werden.<br />
Leider vergessen die Hersteller von <strong>Firewall</strong>s immer wieder, zu betonen, daß ihre<br />
<strong>Firewall</strong>s nicht Schutz gegen Fehler auf Anwendungsebene (application level) von<br />
Serverbetriebssystemen sein können. Sie besitzen zwar Filter, um bestimmte Befehle z.B.<br />
in FTP-Servern (remote site exec) zu sperren, weil diese in der Vergangenheit immer<br />
wieder zu Problemen unter UNIX geführt haben, können jedoch dann mögliche buffer<br />
overflows bei der Parameterübergabe an die übrigen Befehle nicht verhindern. Sie<br />
behelfen sich daher mit einer pauschalen Längenbegrenzung <strong>für</strong> übergebene Parameter,<br />
die aber meist so groß gewählt wurde, daß in der Praxis keine Probleme mit Datenbanken<br />
u.s.w. gibt. Da buffer overflows recht kurz sein können, ist diese Filterung kein Garant.<br />
<strong>Firewall</strong>s, insbesondere SPF´s sind vor ihrer Architektur her nicht da<strong>für</strong> geeignet, Fehler in<br />
Betriebssystemen vor Angreifern abzuschirmen, obwohl sie es nach entsprechender<br />
Programmierung (mit Hilfe einer leistungsfähigen Programmiersprache) können. Für<br />
<strong>Firewall</strong>-1 z.B. lassen sich diese Filter nachrüsten, sie müssen aber teuer bezahlt werden,<br />
stammen aber alle aus der knowledge base <strong>für</strong> Händler von Checkpoint in Israel.<br />
Preisverleiche lohnen sich daher.<br />
Neuentdeckte Fehler in Betriebsystemen hinter einer <strong>Firewall</strong> (z.B. Windows NT 4.0 <strong>und</strong><br />
IIS WWW-Server) müssen erst auch bei dem Hersteller der <strong>Firewall</strong>s erkannt <strong>und</strong> in Filter<br />
einprogrammiert werden. Bis dann ein Update erfolgen kann, ist mitunter mindestens eine<br />
Woche vergangen. Für Betreiber von mission critical Systemen ist diese Zeit viel zu lange.<br />
Mit Hilfe der Werkzeuge von Darren Reed (IPFILTER) gelingt es binnen weniger St<strong>und</strong>en,<br />
den Fehler mitzuprotokollieren <strong>und</strong> zu analysieren. Die Programmierung eines Filters, z.B.<br />
mit PERL ist dann nur noch eine Aufgabe der Anpassung bestehender Filter. Wer mehr<br />
bedarf an Lösung dieser Probleme hat, sollte sich das Modul Net::RAWIP <strong>für</strong> PERL <strong>und</strong><br />
FreeBSD anschauen. Genial einfach <strong>und</strong> - kostenlos!<br />
Feindliche Übernahme von benachbarten Servern<br />
Themen<br />
• Stilllegung des Targets (DoS)<br />
• MAC spoofing<br />
• Überwachung von Netzen<br />
Kleinere Provider haben K<strong>und</strong>enserver auf einer "collision domain" gemeinsam<br />
angeschlossen. Ist ein speziell ins Auge gefaßter Server bei diesem Provider nicht<br />
verletzlich, so benutzt ein Angreifer weitere Tricks.<br />
Häufig findet sich dort zumindest ein Server, der verletzbar ist, oder es ist möglich, nach<br />
Absprache mit dem Provider <strong>für</strong> einige Tage "probeweise" dort einen Server aufzustellen.<br />
Mit Hilfe dieses Servers läßt sich dann ein mit dem Zielserver identischer Server<br />
aufbauen, der dann über ständige DoS-Angriffe den Ur-Server stilllegt, <strong>und</strong> somit seinen<br />
Platz übernehmen kann. Es dauert nur wenige Tage oder St<strong>und</strong>en, bis der<br />
Systemadministrator versucht, sich einzuloggen. Über einen präparierten Login-Dämon,<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins