Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
SUN SOLARIS <strong>und</strong> SUN <strong>Firewall</strong> 1st, Checkpoint <strong>Firewall</strong>-1<br />
SUN Solaris 2.6 kann man als relativ stabiles, aber keinesfalls als sicheres<br />
Betriebssystem bezeichnen. Die <strong>Firewall</strong> ist ein bewährtes Produkt <strong>und</strong> installiert sich<br />
zwischen Kernel <strong>und</strong> Anwendungsprogramme. Mitgeliefert ist HAYSTACK Software, die<br />
z.B. Zugriffe auf den Server protokolliert <strong>und</strong> entsprechend der Uhrzeit auch einzelnen<br />
Usern den Zugriff verbieten kann. Da aber ein Angreifer auch tagsüber angreifen kann, ist<br />
dieses Werkzeug nicht als Sicherung geeignet. Beschreiben wir also eine Standard-<br />
Installation von Solaris 2.6 mit <strong>Firewall</strong> 1st , mit Netscpe SuitSpot 3.5 <strong>und</strong> SUN Netra-I,<br />
einem Administrationswerkzeug, bestehend aus einer Sammlung von CGI-Skripten.<br />
Eingesetzt werden soll dieser Server in Verbindung mit einem CISCO Router zur<br />
Anbindung an das Internet, als PROXY-Cache, als WWW-Server nach außen <strong>und</strong> als<br />
Intranet-Server nach innen. Abgesichert ist dieser durch <strong>Firewall</strong> 1st, installiert auf dem<br />
»bastion host« selber. Als weitere Software wird Netscape SUITSPOT Pro, einer<br />
Sammlung von WWW-Server, Mailserver, NEWS-Server, Kalender-Server, Netscape<br />
Cache-Server installiert, erreichbar von innen <strong>und</strong> außen. Der Netscape Enterprise-Server<br />
basierend auf dem Code von Apache-Server <strong>und</strong> der Netscape Proxy ist identisch mit<br />
dem SQUID-PROXY-Cache. Über Netra-I lassen sich diese Dämonen (weniger<br />
komfortabel) konfigurieren. Netra-I besteht aus einfachen CSH CGI-Skripten ohne<br />
jedwelche Absicherung, die unter UNIX entsprechend der Bedeutung geboten wäre<br />
(chroot(), UserAccount). Es sind ohne weiteres »buffer overflows« ausführbar. Angesichts<br />
der bekannten »buffer overflows« <strong>für</strong> den Apache-Server <strong>und</strong> der Lücken in SQUID ist<br />
dies ein gravierendes Sicherheitsproblem. Solaris 2.6 ist per default nicht so eingestellt,<br />
daß »stack/heap execution« untersagt ist, ein weiteres Problem, welches zudem schlecht<br />
dokumentiert ist. Die <strong>Firewall</strong> kann auch den Zugriff von außerhalb auf Dämonen des<br />
Servers erlauben, was schwerwiegende Folgen haben kann. Mit einem »buffer overflow«<br />
ist somit ein Angreifer in der Lage, die <strong>Firewall</strong> in »nichts« aufzulösen. Weitere<br />
Angriffpunkte ergeben sich durch eingeschleuste Attachments an E-Mail, die direkt<br />
bekannte »buffer overflows« gegen gestartete Dämonen auf der <strong>Firewall</strong> ausführen.<br />
Insgesamt ist es sogar einem erfahrenen Systemadministrator nicht zuzutrauen, das<br />
Betriebssystem dieser <strong>Firewall</strong> genügend abzusichern, angesichts der schlechten<br />
Dokumentation, unsicheren Defaulteinstellungen <strong>und</strong> fehlenden Warnhinweisen der<br />
<strong>Firewall</strong> selber. Für SUN als Träger der <strong>Firewall</strong> spricht nur die Qualität der Software, die<br />
Stabilität <strong>und</strong> Leistungsfähigkeit des Betriebssystems <strong>und</strong> die Tatsache, daß man dieses<br />
System sicher machen kann, mit entsprechender Vorbildung <strong>und</strong> Erfahrung im »cracken«<br />
von UNIX, aber wer hat die schon. Schließlich muß die Sicherheit ja auch nachgewiesen<br />
werden können.........bzw. die Unsicherheit der Default-Installationseinstellungen.<br />
Insgesamt ist das Konzept eines »bastion hosts« der sich selber durch die <strong>Firewall</strong> sichert,<br />
äußerst fragwürdig.<br />
Windows NT 4.0 als Gateway zum Internet<br />
Zahlreiche kleinere Unternehmen besitzen Windows NT 4.0 Server. Installiert sind<br />
Fakturierungsprogramme <strong>für</strong> Windows Clients. Aus Sparsamkeitsgründen wurde in den<br />
Windows NT-Server eine ISDN-Karte installiert <strong>und</strong> WinGate/MS-PROXY als PROXY-<br />
Server installiert. Ein E-Mail-Server holt zeitgesteuert E-Mails von draußen herein <strong>und</strong> zur<br />
Auslieferung bereit liegende werden simultan ausgeliefert. Ein Portscan ergibt, daß Ports<br />
des PROXY´s nach außen hin geöffnet sind. Eine Recherche im Internet ergibt, daß ein<br />
»buffer overflow« existiert <strong>und</strong> zudem der PROXY keine Absicherung gegen »spoofing«<br />
hat. Ein Angreifer, der genügend nahe (bis auf wenige Hops) an den DIAL-IN- Router<br />
herankommt, um diesem beim Abholen seiner E-Mail gespoofte Pakete zuzusenden, ist<br />
so in der Lage, jeden beliebigen Server innerhalb des Netzwerkes zu erreichen, durch den<br />
PROXY hindurch. Ein »buffer overflow« wäre leicht möglich, aber wenn es schon<br />
»spoofing« tut. Mit »gespooften« Paketen ist es einem Angreifer möglich, interne IP-<br />
Adressen durch das äußere Gateway in das Netz hinein zu schicken, vorausgesetzt, daß<br />
er nahe genug an den DIAL-IN Router herankommt. Gespoofte Pakete werden<br />
normalerweise von Providern nicht weitergeleitet. So kann er z.B den Microsoft PROXY,<br />
Wingate o.ä. durchtunneln, <strong>und</strong> im Unternehmen großen Schaden anrichten (ein<br />
bekannter Fehler). Die Bezeichnung PROXY <strong>für</strong> diese Software ist gerechtfertigt, jedoch<br />
fehlen die wesentlichen Eigenschaften eines <strong>Firewall</strong>-Routers. Theoretisch ist es möglich,<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins