Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
hat nach kurzer Zeit mit hoher Wahrscheinlichkeit Zugang zu weiten Bereichen des<br />
Unternehmens. Es gibt eine Reihe von Möglichkeiten, Standardmechanismen des<br />
Routings anzugreifen.<br />
Am einfachsten ist, die Option zur freien Senderwegwahl von IP - loose source route - zu<br />
nutzen. Der Initiator einer TCP-Verbindung kann damit eine explizite Route zum Ziel<br />
angeben <strong>und</strong> den üblichen automatischen Routing-Vorgang umgehen. Die einfachste<br />
Verteidigung gegen einen solchen Angriff ist, Pakete mit Loose-Source-Route-Option<br />
abzuweisen.<br />
Der Rückweg einer Route ist aus Sicherheitssicht besonders wichtig. Kann nämlich ein<br />
Angreifer die Routing-Strategien unterwandern, so kann er sich dem angegriffenen Host<br />
gegenüber als ein vertrauenswürdiges System ausgeben. In diesem Fall versagen<br />
Authentisierungsmechanismen, die sich allein auf die Verifikation von Quelladressen<br />
verlassen.<br />
Da RIP als Informationsträger UDP verwendet, ist es recht einfach, gefälschte RIP-<br />
Nachrichten ins Netz einzuschleusen. Befindet sich der Host des Angreifers näher am Ziel<br />
als das Quellsystem, so kann er den Datenverkehr leicht umlenken.<br />
Ein weiteres Problem ist die Fernwartung via SMNP V1 <strong>und</strong> V2. Eine Authentisierung in<br />
SNMP erfolgt über das sogenannte Communitiy-Konzept. Eine Community ist eine Menge<br />
von Managern, die auf einen gegebenen Agenten in gleicher Weise zugreifen dürfen. Die<br />
Community hat einen Namen (community string), der gleichzeitig als Paßwort dient <strong>und</strong><br />
bei allen Operationen angegeben werden muß. Alle Manager, die zu einer Community<br />
gehören, verwenden denselben community string. Dabei läuft dieser ungeschützt übers<br />
Netz. Kann also ein Angreifer den community string abhören, so kann er sich als Manager<br />
ausgeben <strong>und</strong> z.B. Router zu seinen Gunsten konfigurieren. Router sollten so konfiguriert<br />
werden, daß sie wissen, welche Routen auftauchen dürfen (statisches Routen).<br />
RIP ist ein Dienst auf Basis von UDP. RIP-Server überwachen Port 520 auf Broadcasts<br />
anderer Server <strong>und</strong> Anfragen von Clients. RIP-Server senden ihre Broadcasts gewöhnlich<br />
auf Port 520. Es sollten also Subnetze in größeren Unternehmen nicht nur durch Router,<br />
sondern besser durch <strong>Firewall</strong>s abgesichert werden, da UDP als verbindungsloses<br />
Protokoll einem »hijacking« Angriff nicht standhält. Mit FreeBSD/<strong>LINUX</strong> läßt sich eine<br />
solches System billig aufbauen (ARPD, IPFW, ROUTED). Der Einsatz von OSPF ist zwar<br />
über eine Paßwortauthentifizierung abgesichert, aber auch diese lassen sich "ersniffen",<br />
genauso wie der community string in SMNP, oder dem Telnet-Paßwort.<br />
Router sollten alle via WWW-Browser mit SSL-Verschlüsselung administrierbar sein. Man<br />
sollte die Wichtigkeit der Sicherheit <strong>und</strong> Nichtmanipulierbarkeit von Routern niemals<br />
unterschätzen, sie bilden das Rückgrat sämtlicher Kommunikationswege im Unternehmen.<br />
Da inzwischen frei verfügbare Angriffswerkzeuge im Internet existieren, sollte man auch<br />
die Gefahr eines DoS-Angriffs durch interne Mitarbeiter berücksichtigen. Schließlich kann<br />
die "Umprogrammierung" eines Routers im Unternehmen einem Angreifer sämtliche<br />
Paßworte der Server eines anderen Unternehmenszweiges in die Hände spielen.<br />
DoS-Angriffe gegen Filter Techniken<br />
Themen<br />
• Gefahren von JAVA/Active-X/Viren<br />
• Fluten von Filtern mit ZIP-Files<br />
• magic bytecodes <strong>und</strong> Abstürze von Filtern<br />
• Deaktivierung von Filtern<br />
• Irreführung von Systemadministratoren<br />
In jüngster Zeit werden <strong>Firewall</strong>s mit Filtern gegen Active-X <strong>und</strong> JAVA sowie gegen Viren<br />
ausgeliefert. Über die Gefahren findet sich ein guter Beitrag beim http://www.bsi.b<strong>und</strong>.de<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins