Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Was würde ein Angreifer unternehmen, um in dieses Netzwerk vorzudringen ? Im Prinzip<br />
würde auch der o.a. Angriff funktionieren, es ist aber mit etwas höherem Widerstand bei<br />
einem Angriff von innen her zu rechnen. Z.B. würde ein erfahrener Administrator einen<br />
SSH-Client benutzen, oder via WWW-Interface (Webmin) oder SSL den Server<br />
administrieren. Normale Useraccounts könnten <strong>für</strong> telnet deaktiviert sein, sodaß ein<br />
Einloggen unmöglich ist. Paßworte würden in diesem Falle nur über Port 110 übertragen,<br />
mit Sicherheit werden es unverschlüsselte Paßworte sein. Genau hier wird also ein<br />
Netzwerksniffer ansetzen (z.B. BO). Da bei neueren <strong>LINUX</strong> - Versionen POP3 gut<br />
gesichert ist, bleibt nur noch ein Angriff über PORTMAP, MOUNTD, INETD....HTTP von<br />
innen heraus übrig. Dem Angriff müsste also ein Security- Scan des Gateways von innen<br />
vorausgehen. Ein Blick auf "BUGRAQ" verrät schon einige Exploits, die in S.u.S.E. <strong>LINUX</strong><br />
5.3 <strong>und</strong> 6.0 (aber auch anderen Distributionen) noch nicht aktuell gepatcht sein können,<br />
es sei denn, der Systemadministrator hat diese Sicherheitsprobleme beseitigt. Die<br />
Wahrscheinlichkeit, von Innen heraus einen erfolgreichen "exploit" zu starten, ist relativ<br />
hoch. Nachteil ist, daß dieser auf Windows 95/98 oder NT portiert werden muß. Dank der<br />
neuen Winsock <strong>2.0</strong>+ ist dies kein Problem mehr, der Aufwand, ein Programm, welches<br />
"RAW sockets" anspricht, ist gering. Der SSH, MOUNTD oder SAMBA - »exploit« würde<br />
mit hoher Wahrscheinlichkeit erfolgreich sein, vorausgesetzt, daß der Router als<br />
Fileserver <strong>und</strong> E-Mailserver eingesetzt wird. Ist zudem noch X-Windows installiert (was bei<br />
<strong>LINUX</strong> - Routern meistens so ist), ist auch hier ein großes Sicherheitsloch gegeben. Da<br />
aber Angriffe auf Applikationsebene (Tetris....) gut funktionieren, besteht ein Anlaß, sich<br />
weiter Gedanken zu machen.<br />
Der Einsatz von SQUID auf dem Router (<strong>Firewall</strong>??) hat es überhaupt erst ermöglicht, daß<br />
der Angreifer in Kenntnis der internen IP - Nummer kam, um den Angriff besser<br />
vorbereiten zu können. Ohne SQUID, also nur als Router mit Masquerading installiert,<br />
ergeben sich geringfügig andere Informationen, die der Angreifer nutzen kann:<br />
HTTP_USER_AGENT = Mozilla/4.0 (compatible; MSIE 4.0; Windows 95)<br />
HTTP_ACCEPT = image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/v<br />
nd.ms-excel, application/msword, application/vnd.ms-powerpoint, */*<br />
Ohne SQUID kommt der Angreifer in Besitz von Informationen über viele<br />
Anwendungsprogramme, welche auf der Arbeitsstation installiert sind. Powerpoint, Excel<br />
<strong>und</strong> Winword sind Programme, die VBasic als Programmiersprache nutzen, mit allen<br />
Möglichkeiten, die ein VC++ Programm auch besitzt. Man könnte also ein Programm<br />
(Netzwerkscanner, Keyboard- Sniffer) in ein Makro einbauen, <strong>und</strong> dem arglosen<br />
Mitarbeiter als WinWord/Excel/Powerpoint-Datei senden. Diese Angriffe sind noch nicht<br />
beschrieben worden......kommt noch....:) Die Tatsache, daß MSIE 4.0 <strong>und</strong> Windows 95<br />
eingesetzt wird, erleichtert die Suche nach funktionierenden "exploits".<br />
Analyse eines TIS-FWTK <strong>und</strong> <strong>Firewall</strong>-1<br />
Die Informationen:<br />
REMOTE_HOST = 195.99.32.6<br />
HTTP_USER_AGENT = Mozilla/4.0 (compatible; MSIE 4.0; Windows 95)<br />
HTTP_ACCEPT = image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,<br />
application/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, */*<br />
Für einen Angriff sind die Informationen etwas mager, daher lassen wir uns eine E-Mail<br />
aus dem Netzwerk senden:<br />
Received: by ns.nobbelazzo.com (8.8.4/8.6.12) id PAA00634; Wed, 6 Jan 1999<br />
15:18:19<br />
+0100 (MET) Message-Id: <br />
Erstellt von Doc Gonzo - http://kickme.to/plugins