Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Intranet anzugreifen. Er erhält aber bereits schon Inhalte von geschriebenen Briefen,<br />
Paßworte, Zugänge zu Banking-Software u.s.w. Interessant ist aber stets die<br />
Arbeitsstation des Systemadministrators. Da es sein kann, daß der Angreifer wegen evtl.<br />
verschlüsselter Paßworte beim Login keine Paßworte erhalten hat. Da häufig E-Mail -<br />
Paßworte nicht verschlüsselt werden, diese jedoch oft mit den Login-Paßworten identisch<br />
sind, ist der Angreifer nun doch in Besitz von zumindest einigen Login- <strong>und</strong> E-Mail<br />
Accounts, obwohl diese an sich nicht abgehört werden können. Nun kennt der Angreifer<br />
weitere User <strong>und</strong> deren Namen im Netz. Welche Möglichkeiten ergeben sich hieraus ?<br />
• Auswertung von E-Mail Headern auf Arbeitsstationen zur Analyse der<br />
Netzwerkstruktur <strong>und</strong> Informationsflüsse im Netz.<br />
• Weiterführung des Angriffs mit dem Weihnachtsmann in anderen<br />
Unternehmensfiliale n<br />
• Installation weitere Netzwerk - <strong>und</strong> Keyboardsniffer Auslesen des SQL-<br />
Servers über eine Arbeitsstation, die genügend Festplattenspeicher besitzt<br />
• Angriff mit buffer overflow auf den Server <strong>und</strong> Installation eines Tunnels zur<br />
Fernwartung über Internet.<br />
• DoS des Logservers der <strong>Firewall</strong> in Falle einer Installation eines Tunnels<br />
• Eindringen in den SQL-Server des Unternehmens <strong>und</strong> Kopieren der<br />
Informationen in das Internet<br />
Verwischen von Spuren<br />
Im Gr<strong>und</strong>e fällt ein solcher Angriff insgesamt nicht auf, da die übertragenen Daten stets<br />
gewöhnliche Wege nehmen. Der Einsatz von IDS-Systemen würde nur feststellen können,<br />
daß größere Datenmengen vom SQL-Server über die <strong>Firewall</strong> in das Internet übersendet<br />
wurden, entweder in kleineren, unregelmäßigen Paketen oder als Datenstrom über den<br />
PROXY oder PROXY-Cache des Unternehmens. Die Kunst des Angreifers liegt darin, die<br />
Erfahrung des Systemadministrators richtig einschätzen zu können, um den Angriff<br />
geschickt verbergen zu können. Es ist aber keine Frage, ob in ein Netzwerk eingebrochen<br />
werden kann, sondern eher, wie lange dies unentdeckt bleiben kann. Hierzu ist es dem<br />
Angreifer auch möglich, eine Arbeitsstation, die eine ISDN-Karte <strong>für</strong> BTX - Anschluß<br />
eingebaut hat, <strong>für</strong> die Übertragung der Daten des SQL-Servers in das Internet zu<br />
gebrauchen, unter Umgehung der <strong>Firewall</strong>. Es gibt viele Tricks, die Angreifer benutzen,<br />
um <strong>Firewall</strong>s zu umgehen, <strong>und</strong> Systemadministratoren zu täuschen. Hier nun einige<br />
davon:<br />
23.8 Wie wird ein Angriff verborgen ?<br />
Ein Angriff wird von den wenigsten Systemadministratoren überhaupt bemerkt. Gr<strong>und</strong><br />
da<strong>für</strong> ist, daß die Angreifer oft viel erfahrener sind, als die Opfer <strong>und</strong> genau wissen, wie<br />
man einen Angriff verbirgt. Im nachfolgende Abschnitt wird im Detail erklärt, warum<br />
Angreifer oft so erfolgreich sind, <strong>und</strong> wie sie dabei vorgehen. Nach Schätzungen werden<br />
95% aller Angriffe auf Internet-Server nicht bemerkt.<br />
23.9 Blinde Angriffe (blind attacks)<br />
Im Gegensatz zum Erfahrungshorizont eines "normalen" Anwenders benötigen Angreifer<br />
keine Rückmeldung eines Tastendruckes oder Programms über den Bildschirm. Die uns<br />
so vertraut gewordene Tatsache, daß Computer auf Tastendrücke in Mikrosek<strong>und</strong>en<br />
reagieren <strong>und</strong> eine direkte Rückmeldung über den Vollzug des Befehls geben, ist <strong>für</strong> einen<br />
Angreifer, er einen gezielten Angriff ausreichend vorbereiten konnte, völlig unwichtig. Die<br />
Rückmeldungen können auch um Tage verzögert z.B. über E-Mail oder auch über<br />
mehrere Wege gleichzeitig erfolgen. Angriffe auf z.B. Telnet Verbindungen, die mit<br />
"spoofing" oder "hijacking" arbeiten, erfolgen zwangsläufig immer "blind". Trojanische<br />
Pferde, Würmer <strong>und</strong> Viren benötigen ebenfalls die Anwesendheit des Angreifers nicht.<br />
Diese Angriffe werden als "blinde " Angriffe oder "blind attacks" bezeichnet. Es ist ein<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins