Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Administratoren, u.s.w. Ziel ist es, einen Angriff möglichst präzise vorausplanen zu können<br />
<strong>und</strong> Werkzeuge zu schreiben, die die <strong>Firewall</strong> durchlässig machen. Eventuelle<br />
Fehlversuche erhöhen das Risiko, entdeckt zu werden, da <strong>Firewall</strong>s gut kontrolliert<br />
werden. Die Wahrscheinlichkeit, ein Sicherheitsproblem zu finden, ist relativ hoch, jedoch<br />
befinden sich in der Praxis mögliche Schwachstellen immer auf dem inneren Interface der<br />
<strong>Firewall</strong>. Ein Angreifer wird also immer entweder auf das Konfigurations-Interface der<br />
<strong>Firewall</strong> zielen, oder was viel mehr von Erfolg gekrönt sein wird, auf den Server in der<br />
DMZ, oder Server im Netzwerk des Unternehmens. Ein Angriff auf einen Server in der<br />
DMZ könnte durch die screened subnet/host vereitelt oder entdeckt werden. Somit<br />
konzentriert sich die volle Aufmerksamkeit eines Angreifers stets auf Server oder<br />
Arbeitsstationen hinter der <strong>Firewall</strong>, um mit deren Hilfe eine Art Tunnel durch die <strong>Firewall</strong><br />
erstellen zu können. Besser jedoch ist, wenn der Angreifer im Netzwerk hinter der <strong>Firewall</strong><br />
einen Weg findet, die <strong>Firewall</strong> umgehen zu können. Dies könnten Arbeitsstationen mit<br />
ISDN-Karte sein, Fax-Server o.ä. Ein Angreifer benötigt somit immer die Hilfe von<br />
Mitarbeitern im Unternehmen, ohne jedoch Mißtrauen zu wecken. Er muß den Einsatz von<br />
»trojanischen Pferden« möglichst präzise vorausplanen, da diese Angriffe von Mitarbeitern<br />
ausgeführt werden müssen. Er hat also keinerlei Steuerungs - oder<br />
Korrekturmöglichkeiten mehr. Diese Art Angriffe nennen sich blinde Angriffe. Um jedoch<br />
auf irgendeine Art eine Rückmeldung zu erhalten, ist es notwendig, Rückmeldungen über<br />
Erfolg/Mißerfolg oder weitere Informationen unauffällig aus dem Unternehmen heraus zu<br />
schleusen, vornehmlich über E-Mail oder das WWW-Interface. Hierzu muß er die interne<br />
Infrastruktur der Informationsflüsse kennen, evtl. sogar die Portnummer des Proxy-<br />
Servers, um eine direkte Verbindung, also einen Tunnel über die <strong>Firewall</strong> hinweg<br />
aufbauen zu können. Ist ihm das gelungen, so ist die <strong>Firewall</strong> überw<strong>und</strong>en. Damit es<br />
etwas anschaulicher wird, einige »teilweise« erf<strong>und</strong>ene Beispiele, die vielleicht etwas<br />
»phantasievoll« anmuten, sich jedoch so abspielen könnten.<br />
Angriff über eine beliebige <strong>Firewall</strong> hinweg<br />
Der Angreifer, der sich telefonisch im Sekretariat davon überzeugt hat, daß Herr<br />
Mitarbeiter vom 24.1<strong>2.2</strong>000 auch wirklich Zeit hat, schickt diesem eine E-Mail:<br />
Sehr geehrter Herr Mitarbeiter !<br />
Zur Eröffnung unserer neuen Filiale möchten wir Sie gerne persönlich einladen. Neben<br />
Vorstellungen neuer Internet-Technologien durch unsere Referenten XY, Microsoft <strong>und</strong><br />
WV, SUN möchten wir Sie gerne auch mit leiblichen Überraschungen verwöhnen. Wir bitte<br />
Sie daher, uns mitzuteilen, ob wir Sie am 24.1<strong>2.2</strong>000, 10 Uhr, in unserer neuen Filiale<br />
begrüßen dürfen. Elektronische Anmeldung bitte auf http://www.little-idiot.de/cgibin/test.cgi<br />
(diese URL liefert u.a. Informationen)<br />
Mit fre<strong>und</strong>lichen Grüßen,<br />
gez. Boss<br />
Herr Mitarbeiter, sichtlich erfreut angesichts der leiblichen <strong>und</strong> geistigen Überraschungen,<br />
sagt via Mail zu. Kurze Zeit später ist der Angreifer im Besitz folgender Informationen:<br />
REMOTE_ADDR = 212.53.238.2<br />
REMOTE_HOST = 212.53.238.2<br />
QUERY_STRING = Name=Mueller<br />
HTTP_USER_AGENT = Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)<br />
HTTP_ACCEPT = */*<br />
HTTP_ACCEPT_ENCODING = gzip, deflate<br />
HTTP_X_FORWARDED_FOR = 212.53.238.130<br />
HTTP_VIA = 1.0 cache:8080 (Squid/<strong>2.0</strong>.PATCH2)<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins