Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
die PROXY´s unter NT so einzurichten, daß ein solcher Angriff nicht möglich ist. Wird<br />
dieser PROXY von einem Nicht-Fachmann <strong>für</strong> Security installiert, sind Einbrüche nicht zu<br />
verhindern. Diese Server sind fast nicht gegen viele Arten von DoS Angriffen zu sichern<br />
<strong>und</strong> auch <strong>für</strong> »buffer overflows« empfänglich. Es gibt zahlreiche Anbieter von PROXY-<br />
<strong>Firewall</strong>s <strong>für</strong> Windows 95/98 oder NT 4.0. Alle setzen auf dem TCP/IP-Stack von Microsoft<br />
Windows auf. Die Administration erfolgt entweder über die Arbeitsstation selber, oder aber<br />
»remote«, entweder über Zusatzsoftware oder über den Browser. In diesem Moment ist<br />
die Gefahr existent, daß ein Angreifer mit einem überlangen String schon bei der<br />
Paßwortabfrage einen »buffer overflow« initiieren kann, auch wenn diese über SSL- oder<br />
SSH-Verschlüsselung läuft. Die Arbeitsstation gehört in diesem Moment nämlich logisch<br />
gesehen zur <strong>Firewall</strong> hinzu. Während der gesamten anderen Zeit wird diese Arbeitsstation<br />
häufig von dem Systemadministrator zum »surfen« <strong>und</strong> zum Lesen von E-Mails benutzt.<br />
Ein Angreifer ist während dieser Zeit in der Lage, diese Arbeitsstation mit einem<br />
trojanischen Pferd unter seine Kontrolle zu bringen, oder zumindest das »shared secret«,<br />
z.B den SSH-Schlüssel <strong>und</strong> das Paßwort in seinen Besitz zu bringen. SSH <strong>und</strong> vermutlich<br />
auch andere Verschlüsselungs/Authentifizierungssoftware ist gegen »buffer overflows«<br />
anfällig. Mit Kenntnis des Schlüssels, des Paßwortes <strong>und</strong> unter Anwendung von<br />
»spoofing« ist der Angreifer in der Lage, die <strong>Firewall</strong> auszuschalten.<br />
S.u.S.E <strong>LINUX</strong> <strong>Firewall</strong><br />
S.u.S.E zeichnet sich stets durch einfache Installation <strong>und</strong> die besonders in Deutschland<br />
gefragte ISDN-Unterstützung aus. Seit Version 5.3 (6.0) hat S.u.S.E eine <strong>Firewall</strong> -<br />
Konfiguration <strong>und</strong> eine Installationsanleitung mitgeliefert. Wie schon oben erwähnt, ist<br />
diese <strong>Firewall</strong> erwiesenermaßen von innen her, z.B über den SSH-Dämon anzugreifen.<br />
Katastrophal sind aber die vorgeschlagenen Installationshinweise <strong>und</strong> der dort<br />
vorgeschlagene Aufbau, der gegen alle Regeln verstößt, die in Standardbüchern, z.B<br />
»Einrichten von Internet <strong>Firewall</strong>s« als gefährlich bezeichnet werden. Die <strong>LINUX</strong> <strong>Firewall</strong><br />
arbeitet hier als »bastion host«, was angesichts der großen Probleme mit »buffer<br />
overflows« von <strong>LINUX</strong> schon ein Problem darstellt. Die <strong>Firewall</strong> ist hier zwischen Router<br />
zum Internet <strong>und</strong> dem Intranet angesiedelt. Bei entsprechender Einstellung der Variablen<br />
»FW_FRIENDS«, »FW_MAILSERVER«, »FW_DNSSERVER«,<br />
»FW_WWWSERVER«......werden Server, die im Intranet zusammen mit den<br />
Arbeitsstationen stehen, <strong>für</strong> den Zugriff aus dem Internet freigegeben. Im Falle, daß dort<br />
ein Server mit bekannten Sicherheitsproblemen installiert ist, z.B <strong>LINUX</strong> Server oder<br />
Windows NT Exchange-Server, kann ein Angreifer aus dem Internet direkt einen »buffer<br />
overflow« dort initiieren, <strong>und</strong> diesen dann als »trojanisches Pferd« <strong>für</strong> weiteres<br />
gebrauchen. (Es wird völlig übersehen, daß es »reverse proxies« gibt, die eine ähnlichen<br />
Aufbau erlauben, deren Technik ist aber eine völlig andere. Diese ist so nicht in <strong>LINUX</strong><br />
verfügbar.) Ein Hinweise auf einen internen Router, also eine zweite Absicherung gegen<br />
Zugriffe auf das Intranet fehlt völlig. Die DMZ ist nicht existent. Es wird auch nicht darauf<br />
hingewiesen, daß <strong>LINUX</strong> auch in der S.u.S.E Version 6.0 gegen »buffer overflows« nicht<br />
geschützt ist, <strong>und</strong> Dämonen weder in »chroot() « Umgebung gestartet sind, noch es<br />
verboten ist, auf der <strong>Firewall</strong> X-Windows u.ä zu starten. Einige kleinere »spoofing« Fehler<br />
in der Konfiguration bezüglich der MASQUERADING-Dämonen (FTP, VDO_LIVE, CU-<br />
See-Me, IRC, Quake....) addieren sich zu der Tatsache, das überhaupt keine <strong>Firewall</strong><br />
jemals einen IRC/Quake-Client zulassen sollte. Alle IRC-Clients lassen sich »remote<br />
fernsteuern« , ein großes Sicherheitsrisik o. Sowohl IRC als auch Quake sind bekannt<br />
da<strong>für</strong>, daß sie unbekannten aus dem Internet Zugriff auf die Arbeitsstation hinter der<br />
<strong>Firewall</strong> geben. <strong>LINUX</strong> ist bekannt <strong>für</strong> seine Fehler im TCP/IP-Stack, die in DoS Angriffe<br />
enden können. Die im Kernel eingebaute <strong>Firewall</strong> basiert auf dem TCP/IP-Stack, ist also<br />
gegen TCP/IP DoS Angriffe nicht abgesichert. In der Installationsanleitung findet sich auch<br />
keinerlei Hinweis darauf. Insgesamt kann man diesen <strong>Firewall</strong> - Aufbau nur als<br />
»katastrophal« bezeichnen. Diese <strong>Firewall</strong> sollte man auch nicht »zusätzlich« zu einer<br />
bestehenden einsetzten. Die Gefahr, daß diese <strong>Firewall</strong> einem DoS Angriff zum Opfer<br />
fällt, ist sehr groß.<br />
<strong>Firewall</strong>konfiguration des DFN-CERT<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins