Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Received: by ns.nobbelazzo.com via smap (V1.3) id sma000480; Wed, 6 Jan 99<br />
15:18:04<br />
+0100<br />
Received: by ahmnag.ahm-nl.nobbelazzo.nl with Internet Mail Service<br />
(5.5.1960.3) id ; Wed, 6 Jan 1999 15:18:04 +0100<br />
MIME-Version: 1.0 X-Mailer: Internet Mail Service (5.5.1960.3) Content-Type:<br />
text/plain Status:<br />
Und schon ist der Angreifer ein wenig schlauer: Die Firma setzt also intern Microsoft<br />
Exchange 5.5 ein, hat eine <strong>Firewall</strong> installiert, wahrscheinlich <strong>LINUX</strong> mit dem TIS - FWTK<br />
<strong>2.0</strong>/2.1, installiert auf ns.nobbelazzo.com, dem "bastion host" <strong>und</strong> Gateway zum Internet.<br />
Er kennt außerdem den internen DNS Namen des Mail-Gateways, welches die<br />
Arbeitsstationen als Relay benutzen. Zur Vorbereitung eines automatisierten Angriffs<br />
durch ein trojanisches Pferd sind diese Informationen elementar wichtig. Also weiter mit<br />
den Untersuchungen:<br />
NSLOOKUP liefert folgende Informationen:<br />
nobbelazzo.com nameserver = NS.nobbelazzo.com<br />
nobbelazzo.com nameserver = NS2.EU.CONCERT.NET<br />
nobbelazzo.com<br />
origin = NS.nobbelazzo.com<br />
mail addr = postmaster.NS.nobbelazzo.com<br />
serial = 99010611 refresh = 10800 (3 hours) retry = 1800 (30 mins) expire<br />
= 3600000 (41 days 16 hours) minimum ttl = 86400 (1 day)<br />
nobbelazzo.com preference = 5, mail exchanger = NS.nobbelazzo.com<br />
Authoritative answers can be fo<strong>und</strong> from:<br />
nobbelazzo.com nameserver = NS.nobbelazzo.com<br />
nobbelazzo.com nameserver = NS2.EU.CONCERT.NET<br />
NS.nobbelazzo.com internet address = 195.99.32.6<br />
NS2.EU.CONCERT.NET internet address = 195.99.65.212<br />
Ok, ein "bastion host", aber welche Ports sind geöffnet ?<br />
[root@www stepken]#./portscan ns.nobbelazzo.com 1 1024<br />
No route to host !<br />
[root@www stepken]#./portscan ns.nobbelazzo.com 25 26<br />
25 No route to host !<br />
[root@www stepken]# ./portscan ns.nobbelazzo.com 53 54<br />
53 No route to host !<br />
[root@www stepken]# ./portscan ns.nobbelazzo.com 55 56<br />
No route to host !<br />
[root@www stepken]# ./portscan ns.nobbelazzo.com 8080 8081<br />
8080 No route to host !<br />
Was soll uns das sagen ? Aus dem E-Mail Header entnimmt der Angreifer, daß SMAP<br />
V1.3 unter UNIX installiert wurde, also das TIS FWTK in der Version (V1.3) installiert<br />
wurde. Der erste Test "portscan ...1 1024" wird abgeblockt, ein Hinweis auf <strong>Firewall</strong>-1, die<br />
vorgeschaltet wurde. Fängt der Angreifer aber an, von dem vermutlich aktiven Port aus zu<br />
scannen, bekommt er doch einen eindeutige Aussage (Man achte auf das Echo bei<br />
portscan ...25 26) Auf dem "bastion host" sind ein PROXY-CACHE, Ein E-Mail-Dämon,<br />
<strong>und</strong> ein DNS-Server installiert (Port 25, 53, 8080). Der Angreifer hat also Informationen mit<br />
Hilfe des Portscanners erhalten, obwohl die <strong>Firewall</strong> angeblich Portscans verhindert. Mit<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins