Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
ACTIVE-X <strong>und</strong> in wenigen Fällen über JAVA, direkt auf die Festplatte zuzugreifen. Falls<br />
ein Angreifer nur einen einzigen WWW-Server im Internet kennt, der von Mitarbeitern<br />
häufig besucht wird (oft ist es der eigene WWW-Server), so wird ein professioneller<br />
Angreifer wenig Mühe haben, einigen WWW-Seiten des Servers einige<br />
sicherheitsrelavante Skripte unterzuschieben. Oft wird behauptet, daß die Sicherheit des<br />
WWW-Servers unwichtig sei, da er ja ohnehin keine geheimen Informationen beinhalte,<br />
<strong>und</strong> somit <strong>für</strong> Angreifer uninteressant sei. Das Gegenteil ist der Fall. Zudem fungiert dieser<br />
Server oft noch als E-Mail Relay - Station <strong>und</strong> enthält wertvolle vertrauenswürdige E-<br />
Mailadressen, welche der Angreifer spooft, um trojanische Pferde in das Netzwerk<br />
einzuschleusen.<br />
Im Netzwerk von Unternehmen - Was einen Angreifer<br />
brennendinteressiert<br />
Man kann davon ausgehen, daß es relativ einfach ist, irgendeinem Benutzer im Netzwerk<br />
ein trojanisches Pferd via E-Mail unterzuschieben. Angenommen, das Programm liefe <strong>für</strong><br />
kurze Zeit auf irgendeiner Arbeitsstation im Netzwerk. Angenommen, der Angreifer wüßte<br />
nichts über die Struktur im Netzwerk selber, wie würde er strategisch am günstigsten<br />
vorgehen, um Informationen aus dem Netzwerk heraus zu schleusen, <strong>und</strong> Zugang zu<br />
wichtigen Informationen zu erhalten. Wir gehen dabei davon aus, daß standardmäßig, z.B.<br />
<strong>Firewall</strong>-1 im Einsatz ist - es könnte auch eine beliebig andere sein. Arbeitsstationen<br />
seinen mit Windows 98 oder NT 4.0 ausgestattet.<br />
Vorbereitende Veränderungen an Dateien <strong>und</strong> Netzwerkanalyse<br />
Da der Angreifer davon ausgehen muß, daß z.B. eine Weihnachtsmann - Animation nur<br />
ca. 30-40 Sek<strong>und</strong>en lang läuft, ist es wichtig, vorzusorgen. Hier sind einige, wichtige Dinge<br />
zu tun:<br />
• Entpacken eines Binaries aus der Weihnachtsmann.exe (5 Sek<strong>und</strong>en)<br />
• Veränderung der Startup-Dateien (autoexec.xxx, Kopie in den Autostart-<br />
Ordner ) (1 Sek<strong>und</strong>e)<br />
• Anhängen eines .EXE Programms an eine System-Datei o.ä. (Winword.exe,<br />
Notepad, Write.exe, Sysedit) (4 Sek<strong>und</strong>en)<br />
• Durchsuchen der Konfigurationsdateien nach Name, E-Mail Server, PROXY-<br />
Einstellun g des Browsers, IP-Adresse <strong>und</strong> Gateway (1 Sek<strong>und</strong>e)<br />
• Scan nach frei beschreibbaren WfW - Netzen <strong>und</strong> Arbeitsstationen (2<br />
Sek<strong>und</strong>en)<br />
• Scan nach allen aktiven IP-Adressen, Scan aller MAC-Adressen<br />
(Hardwareadressen) (3 Sek<strong>und</strong>en)<br />
• Scan nach Virenscannern <strong>und</strong> speziellen Filtern (2 Sek<strong>und</strong>en)<br />
• Abfrage der Betriebssystemsnummern, Versionsnummern, Patchlevel... (1<br />
Sek<strong>und</strong>e)<br />
• Scan nach installierter Software..... (2 Sek<strong>und</strong>en)<br />
• Scan nach offenen Ports aller aktiven IP - Nummern im Bereich 1 ... 100 ( 10<br />
Sek<strong>und</strong>en)<br />
• Versenden aller dieser Informationen über den PROXY - Server oder via E-<br />
Mail in das Internet (2 Sek<strong>und</strong>en)<br />
Auswertung der gesammelten Daten<br />
Nun ist die erste Stufe eines Angriffs vorüber, wie helfen diese gesammelten Daten einem<br />
Angreifer nun weiter ? Wertet man nun die gesammelten Daten aus:<br />
• Dieses Binary enthält einen Netzwerksniffer, der besonders auf Port 80, 25,<br />
110, 137-139 lauscht. Er wird morgends beim Hochstarten der Arbeitsstation<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins