Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Server sollten stets mit statischen ARP-Tabellen (siehe bootpd) gefüttert werden, die<br />
durch einen separaten ARP-Cache Dämon ergänzt werden. Insbesondere in großen<br />
Netzwerken sind dauernde ARP-Broadcasts des Servers nicht nur eine erhebliche<br />
Netzwerkbelastung, sondern auch ein Sicherheitsproblem auf der Hardware-Ebene der<br />
Netzwerkkarten.<br />
Server <strong>und</strong> <strong>Firewall</strong>betriebssysteme sollten nur mit Netzwerkkarten ausgerüstet werden,<br />
bei denen die Hardwareadresse nicht verändert werden kann. Leider sind auch manche<br />
ARP-Caches flutbar, sodaß dieses evtl. auch einen ARP-Dämon <strong>für</strong> einen DoS-Angriff<br />
anfällig macht.<br />
Generell sollten in Unternehmensnetzwerken Netzwerkkarten mit großem ARP-Cache<br />
eingesetzt werden, es entlastet das Netzwerk erheblich durch weniger ARP-Broadcasts.<br />
Wissend, daß MAC-Adressen, ARP-Caches <strong>und</strong> IP - Nummern gespooft werden können,<br />
sollten in größeren Unternehmensnetzwerken generell Router, <strong>Firewall</strong>-Router oder Level<br />
3/4 Switches zum Einsatz kommen. Dieses ermöglicht darüber hinaus noch eine<br />
Komplettüberwachung über den Datenverkehr <strong>und</strong> erschwert die Industriespionage, bzw.<br />
verhindert diese wirksam. Daher soll ARP durch neighbour discovery - ein neues Protokoll<br />
basierend auf ICMP - ersetzt werden.<br />
Alternativ sollte man mit statischen ARP-Tabellen arbeiten (ARPD), was natürlich einen<br />
erhöhten Pflegeaufwand bedeutet.<br />
DoS über VLAN´s hinweg<br />
VLAN´s werden gerne in größeren Unternehmen eingesetzt, um verschiedene<br />
Abteilungen voneinander abzutrennen. Hierzu werden oft Switches eingesetzt, die dann<br />
die einzelnen Netzwerkstränge durch VLAN´s logisch voneinander trennen. Jeder<br />
Netzwerkstrang erhält dann seine eigene Netzwerkadresse. Die Arbeitsstationen im einem<br />
VLAN können mit denjenigen anderer VLAN´s gewöhnlich nicht mehr kommunizieren.<br />
VLAN´s bilden eine Broadcast Domain, sodaß alle Broadcasts an Arbeitsstationen im<br />
VLAN nicht in andere VLAN´s übermittelt werden. Hierzu erhält im Prinzip jeder<br />
Netzwerkstrang seine eigene Gateway-Adresse vom Switch zugeteilt, so, als ob hier der<br />
Switch als Router arbeiten würde. Leider gibt es hier ein größeres Problem. Gespoofte<br />
Pakete, also Pakete mit vorgetäuschter Adresse aus einem anderen VLAN lassen sich<br />
immer noch an Hosts in anderen Netzwerken senden. Auch wenn von dort keine<br />
Antwortpakete <strong>zurück</strong>kommen, ist immer noch ein DoS Angriff auf den TCP/IP Stack von<br />
Hosts möglich. Da der Switch über einen eigenen TCP/IP Stack verfügt, sind viele der<br />
TCP/IP DoS Angriffe auf den Stack des Switches möglich.<br />
Dos-Angriffe über Router-Manipulationen<br />
Themen<br />
• Source routing<br />
• Mißbrauch von Servern <strong>für</strong> Routing<br />
• RIP session hijacking<br />
• Sniffen des SMNP community strings<br />
Ist ein Angreifer mit einem trojanischen Pferd erst einmal in ein Netzwerk vorgedrungen,<br />
hat er großes Interesse, nicht nur den unmittelbaren Netzwerkverkehr, sondern auch den<br />
Verkehr in anderen Subnetzen des Unternehmens abzuhören.<br />
Nichts liegt also näher, z.B. ein geeignetes Werkzeug (UNIX/NT) als Filter <strong>und</strong> Router<br />
gleichzeitig zu gebrauchen. Dazu muß er die dynamischen Einträge von Routern im<br />
Unternehmen so manipulieren, daß diese sämtliche Pakete über den UNIX/NT-Server<br />
schicken(MITM-Problem). Diese Pakete kann er dann nach Paßworten durchsuchen <strong>und</strong><br />
Erstellt von Doc Gonzo - http://kickme.to/plugins