Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Welche anderen Informationen hätte der Angreifer erhalten können ?<br />
HTTP_USER_AGENT = Mozilla/4.06 [de]C-QXW0310E (WinNT; I)<br />
HTTP_ACCEPT = image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png,<br />
*/*<br />
HTTP_ACCEPT_ENCODING = gzip<br />
Es hätte sich nichts geändert, der o.a. Angriff wäre auch so erfolgreich gewesen, Trotz<br />
des Einsatzes von NT. Netscape 4.06 hätte wegen eines BUGS in JAVASCRIPT es dem<br />
Angreifer ermöglicht, den CACHE auszulesen, um festzustellen, wohin der Mitarbeiter<br />
gerne "surft". Ein neuer Angriff, hier die Daten:<br />
REMOTE_ADDR = 195.211.212.134<br />
REMOTE_HOST = 195.211.212.134<br />
HTTP_USER_AGENT = Microsoft Internet Explorer<br />
HTTP_ACCEPT = image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png,<br />
*/*<br />
HTTP_ACCEPT_ENCODING = gzip<br />
HTTP_ACCEPT_CHARSET = iso-8859-1,*,utf-8<br />
HTTP_X_FORWARDED_FOR = 192.168.99.5<br />
HTTP_VIA = 1.0 fv-router.firma.de:8080 (Squid/2.1.RELEASE)<br />
Was liest ein Angreifer hieraus ? Im Gegensatz zur vorgergehenden Netzwerkanbindung<br />
ist hier der Systemadministrator offensichtlich sehr engagiert <strong>und</strong> viel erfahrener in<br />
Netzwerktechnik. Woran sieht man das ? HTTP_USER_AGENT = Microsoft Internet<br />
Explorer ist eine Irreführung des Squid 2.1 über die verwendeten Browser im Netz. Die<br />
Information HTTP_X_FORWARDED_FOR zeigt, daß hier auf einem <strong>LINUX</strong>-Router<br />
(wahrscheinlich S.u.S.E 5.3 oder 6.0 mit den <strong>Firewall</strong> <strong>und</strong> Masquerading - Regeln<br />
installiert wurde. Es muß ein Systemadministrator sein, der sich hervorragend mit UNIX<br />
auskennt, da er Squid 2.1 neu kompiliert <strong>und</strong> installiert hat. Weiterhin kennt sich dieser gut<br />
im Routing aus, da er die 192.168.x.x Netzwerkadresse im Intranet verwendet, welche per<br />
Definition nicht in das Internet geroutet wird, er setzt Masquerading (also NAT) ein. Im<br />
Gegensatz zu dem ersten Beispiel besitzt diese Firma keine Anbindung über eine feste IP<br />
- Nummer, sondern benutzt einen preiswerten Account mit SYNC-PPP, d.h., das sich die<br />
IP - Nummer von mal zu mal ändert. Ein Scan des Class-C Netzes zeigt, daß nur ca. 30 IP<br />
- Nummern in Frage kommen. Falls der Angreifer also diesen <strong>LINUX</strong>-Router wiederfinden<br />
möchte, muß er ständig diese 30 IP - Nummern auf das Vorhandensein von Port 8080<br />
scannen, was sich evtl. etwas Zeit kosten würde, oder dem Systemadminitrator eine E-<br />
Mail schicken, die ihn veranlaßt, eine bestimmte Seite im Internet zu besuchen. Hier wird<br />
er dann "getrappt", also ihm eine Falle gestellt. Die sieht folgendermaßen aus: Es besucht<br />
jemand die WWW-Seite. Der WWW-Server erzeugt einen Eintrag in das "access_log" File.<br />
Dieses File wird mit "tail -f access_log|grep 195.211.212" (UNIX oder NT+UNIX Toolkits)<br />
ständig abgefragt. Tritt ein "Event" auf, so wird automatisch ein "ping 195.211.212.xxx (mit<br />
der vom "Event" übergebenen IP-Adresse) ausgeführt. Das ist von jedem Anfänger zu<br />
bewältigen <strong>und</strong> eignet sich hervorragend auch <strong>für</strong> riesige Netze, wie z.B. der Telekom mit<br />
Millionen von IP - Nummern oder großen Firmen, wie Siemens, DEBIS, Daimler.....Duch<br />
den "ping" wird die ISDN-Leitung des Routers offengehalten, zwecks Untersuchung. Er<br />
kann auch sicher sein, daß er das richtige Opfer gef<strong>und</strong>en hat, da sonst niemand diese<br />
bestimmte WWW-Seite kennt. Der Angreifer kann also in Ruhe irgendwann in der Nacht<br />
den Server untersuchen. Ein Scan wird zeigen, daß hier keinerlei Port offen ist. Da diese<br />
Firma so, wegen der dynamischen IP - Nummer <strong>und</strong> wegen der völlig geschlossenen<br />
Ports keine E-Mail erhalten würde, muß also ein Programm die E-Mail aktiv in das<br />
Netzwerk holen, aber wie <strong>und</strong> von wo ? Eine kurze Abfrage des MX - Eintrages dieser<br />
Firma XY mit nslookup zeigt, daß die E-Mail auf einem Außenserver gelagert wird. Es ist<br />
zu vermuten, daß zu bestimmten Zeiten E-Mail geholt <strong>und</strong> gesendet wird, dieses<br />
Verfahren dient der Vermeidung von Telefonkosten.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins