Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
unbekannten »buffer overflows« kann man nicht »trappen«, da diese evtl. keine auffälligen<br />
Spuren in Logfiles hinterlassen. Eine Netzwerküberwachung kann aber Aufschlüsse<br />
darüber geben, wer <strong>und</strong> wann größere Datenmengen wohin geschickt hat.<br />
ENSkip, IPSec gegen buffer overflows<br />
UNIX ist ein modulares Betriebssystem, jeder Dienst (Dämon) kann abgeschaltet werden.<br />
Darüber hinaus erlaubt UNIX die Abschaltung von Protokollen. Im Falle von OpenSource -<br />
Software ist es sogar möglich, sämtliche Protokolle aus dem Kernel zu entfernen oder zu<br />
ersetzen. So lassen sich z.B. mit Hilfe der Pakete ENSkip oder IPSec der Kernel so<br />
aufbauen, daß er normale Protokolle nicht mehr erkennen kann. Hierbei werden nicht<br />
einzelne Protokolle, sondern sämtliche Datenpakete einer oder aller Netzwerkkarten<br />
komplett verschlüsselt. Der Einsatz eines solchen Systems erfordert keinerlei Eingriffe in<br />
die Software, um von den starken Authentifizierungsmechanismen profitieren zu können.<br />
Von Außen ist ein Angreifer auch nicht mehr in der Lage, einen buffer overflow auf einem<br />
IPSec Server auszuführen. Für Anbieter von Datenbank-Servern ist dies eine Möglichkeit,<br />
ihren Server abschußsicher (gegen DoS Angriffe) <strong>und</strong> gegen buffer overflows zu<br />
schützen. Angriffe können nur noch von denjenigen WWW-Servern aus gestartet werden,<br />
die direkt über IPSec an den Datenbank-Server angeb<strong>und</strong>en sind. Diese lassen sich<br />
relativ gut überwachen.<br />
23.4 Zeitaufwand <strong>und</strong> Einbruchswerkzeuge<br />
Erst durch das vertraglich verbotene "reengineering", d.h. die Zurückverwandlung in<br />
Assembler/C Quellcode offenbart erst das wahre Ausmaß der Systemunsicherheit.<br />
Toolkits, wie "windasm", NUMEGA´s SoftIce oder "bo<strong>und</strong>schecker" sind die<br />
Standardtoolkits, mit welchen sich ohne Probleme sogar Dongel <strong>und</strong><br />
Seriennumernabfragen deaktivieren lassen. Hier einige Beispiele <strong>für</strong> den Zeitaufwand, den<br />
ein einigermaßen erfahrener C Programmierer <strong>und</strong> Assembler-Kenner benötigt, um<br />
folgende "Probleme" zu beseitigen: (Exploits = Programme zur Ausnutzung einer<br />
Sicherheitslücke)<br />
• Dongle-Abfrage eines WIN/INTEL-Programmes beseitigen: 1-2 Tage<br />
• Seriennummer-Abfrage eines WIN/INTEL Programmes beseitigen: 1/2 Tag<br />
• Bekannten Exploit suchen <strong>und</strong> anwenden (Lamer): 10 Minuten<br />
• Exploit (buffer overflow) von INTEL-> MIPS/SPARC portieren (<strong>LINUX</strong>): 1 Tag<br />
• Exploit schreiben nach einem konkreten Hinweis aus BUGTRAQ: 2 Tage<br />
• Reverse Engineering von Patches (Binary): 2-3 Tage<br />
• Reverse Engineering von Quellcode- Patches: 1 Tag<br />
• Exploit schreiben mit durchsuchen des Quellcodes (UNIX): 1 Tag<br />
• Exploit schreiben ohne Kenntnis des Quellcodes (UNIX): 1 -2 Tage<br />
• Exploit schreiben ohne Kenntnis des Quellcodes nach konkreten Hinweis (NT<br />
4.0 IIS <strong>2.0</strong>): 1 St<strong>und</strong>e bis 2 Tage<br />
• Auffinden von möglichen exploits (Quellcode 1000 Zeilen C): 3 St<strong>und</strong>en-1<br />
Tag<br />
• Reverse Engineering von JAVA-Bytecode-Quellcode (kleine Anwendung): 1<br />
St<strong>und</strong>e<br />
• Reverse Engineering von VB 4.0 Bytecode-Quellcode: 1 St<strong>und</strong>e<br />
• Reverse Engineering von 2 KByte Binary > Quellcode: = Zeit <strong>für</strong> neu<br />
schreiben.<br />
• Fehler in TCP/IP-Stack suchen über Netzwerk <strong>und</strong> DoS Angriff ausführen: 5<br />
Minuten<br />
• Paßwortsniffer unter Windows 95/NT installieren: 5 Minuten<br />
• Paßworte aussortieren <strong>und</strong> Zugriff auf Fileserver/SQL-Server erhalten: 10<br />
Minuten<br />
• Keyboard-Sniffer installieren: 5 Minuten<br />
• BO, NetBus <strong>und</strong> Plugins remote installieren: 5 Minuten<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins