Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
gestartet <strong>und</strong> belauscht andere Arbeitsstationen beim Login- Vorgang auf<br />
dem Server, Abholen der E-Mail... Er sammelt diese Daten <strong>und</strong> sendet sie<br />
irgendwann tagsüber über das E-Mail Gateway oder den Internet -Proxy in<br />
das Internet. Die <strong>Firewall</strong> wird diese Vorgänge zwar registrieren, es sind aber<br />
ganz normale Vorgänge. Der Angreifer ist nun im Besitz von zumindest<br />
einigen Paßworten.<br />
• Die 2. Datei enthält einen Keyboardsniffer, der zusammen mit Winword<br />
startet, <strong>und</strong> alle halbe St<strong>und</strong>e sämtliche Tastendrücke in das Internet<br />
übermittelt.<br />
• Diese Informationen werden von o.a. Programmen zur Übermittlung der<br />
Informationen in das Internet verwendet <strong>und</strong> dienen der Vorbereitung weiterer<br />
Angriffe.<br />
• Mit diesen Informationen wird ermittelt, wer im Netzwerk evtl. sein Laufwerk<br />
zum Scheiben freigegeben hat. Falls im Unternehmen ein Switch eingesetzt<br />
wird, so ist die Ausbeute aus (1.) nicht groß. Der Sniffer installiert sich dann<br />
einfach auf die andere Arbeitsstation. So erhält man weitere Paßworte aus<br />
anderen Bereichen in Netz.<br />
• Der Scan nach IP-Adressen ist <strong>für</strong> 11. notwendig. Die Hardwareadressen<br />
verraten, wer die Netzwerkkarten produziert hat. Jeder Hersteller von Servern<br />
(HP, 3COM, SUN, DEC, NOVELL....) haben ihre charakteristischen ,<br />
reservierten MAC-Kennungen. Mit Hilfe von diesen lassen sich Hersteller <strong>und</strong><br />
Lieferdatum von Servern, Routern....bestimmen. Daraus ergeben sich<br />
konkrete Hinweise auf das installierte Betriebssystem. Eine kurze Recherche<br />
in BUGTRAQ - Archiv zeigt dann, welche Sicherheitsprobleme dieses haben<br />
könnte, <strong>und</strong> der Angreifer findet dort auch auch gewöhnlich den exploit.<br />
• Scan nach Virenscannern soll bei späteren Angriffen verhindern, daß sich<br />
TSR-Programme (Terminate Stay Resident) <strong>und</strong> der Virenscanner<br />
gegenseitig blockieren. Es zeigt auch, ob es möglich ist, zu einem späteren<br />
Zeitpunkt ein trojanisches Pferd via E-Mail über WinWord, Excel oder<br />
Powerpoint in das Netzwerk zu schleusen.<br />
• Das verwendete Betriebssystem, die genauen Versionen von Browser, E-Mail<br />
Programm könnten später wichtig sein. Sie zeigen aber auch, wie fleißig die<br />
Systemadministratoren Sicherheits-Updates einspielen. Sie erlauben es<br />
abzuschätzen, ob <strong>und</strong> wann auf dem Server Sicherheitskorrekturen<br />
eingespielt wurden.<br />
• Die installierte Software zeigt, welche Sicherheitsschwächen weiter<br />
ausgenutzt werden können.<br />
• Der Scan nach offenen Portnummern aller IP-Adressen im Netz meldet<br />
gewöhnlich, hinter welcher IP - Nummer sich eine Arbeitsstation oder ein<br />
Server verbirgt. Die offenen Ports zeigen an, welches Betriebssystem<br />
installiert ist, <strong>und</strong> welche Dienste es aktiviert hat. Daraus ergibt sich nach<br />
einer Recherche auf BUGTRAQ, ob <strong>und</strong> welcher buffer overflow funktionieren<br />
würde, um an die Daten heranzukommen. Weiterhin ergeben sich<br />
Zusammenhänge in der Netzwerkarchitektur, Hinweise auf Router <strong>und</strong> evtl.<br />
Wege in Filialen oder andere angeschlossene Netzwerke. Diese Portscan´s<br />
könnten von einer internen <strong>Firewall</strong> bemerkt werden, im allgemeinen aber fällt<br />
ein solcher Scan nicht weiter auf. Insbesondere interessieren die typischen<br />
Ports der Logserver, auf welche die <strong>Firewall</strong> Sicherheitsmeldungen sendet.<br />
• Das Versenden all dieser Informationen erfolgt weitestgehend unauffällig.<br />
Vorbereitung der 2 Angriffsstufe<br />
Der Angreifer ist nun in Besitz aller wichtigen Informationen, um einen weiteren Angriff<br />
ausführen zu können. Er kennt den Überwachungszustand des Netzes, den Zustand der<br />
Server, einige Wege, unauffällig Informationen aus dem Netzwerk herauszuschleusen,<br />
installiert e Software, u.s.w. Hier ergeben sich nun einige Möglichkeiten, den Server im<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins