Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
geschehen ist. Der Upload von geeigneten Werkzeugen, wenn ein Einbruch bereits<br />
erfolgreich war, ist ein Kinderspiel.<br />
23.13 DNS-Sicherheit <strong>und</strong> Entführung von E-Mails<br />
Bei Angriffen auf Server im Intranet spielt die Sicherheit von DNS-Servern eine wichtige<br />
Rolle. Is dieser z.B. veraltet so ist es einem Angreifer möglich, diesem ungefragt neue<br />
Zuordnungen von IP-Numer zu DNS-Namen einzuimpfen. Diese enthalten darüberhin aus<br />
auch Informationen über Mail - Exchange - Server (MX-Einträge) <strong>für</strong> den Austausch von<br />
E-Mail intern <strong>und</strong> extern. Impft man nun IP - Nummern von Servern aus dem Internet ein,<br />
so verschwinden alle E-Mails über die <strong>Firewall</strong> in das Internet. Eugene Kashpureff z.B. hat<br />
mit diesem Trick tausende Domains in der Welt auf "www.alternic.com" umgeleitet,<br />
inclusive deren E-Mails. Auch Siemens Nixdorf ist von einem solchen Effekt betroffen<br />
gewesen (<strong>und</strong> noch betroffen). Ein Umleiten von E-Mails ist somit leider mancherortens<br />
immer noch möglich, <strong>und</strong> zudem auch noch völlig unauffällig durchführbar, obwohl dieses<br />
Problem seit 1994 bekannt ist. Im Jahre 1998 sind Fa. Siemens auf diese Weise<br />
mindestens 9 Gigabyte E-Mails aus dem internen Netzwerk entführt worden.<br />
23.14 <strong>Firewall</strong>s <strong>für</strong> Verbindungen von außen mit FTP öffnen<br />
Ein lokaler User verbindet sich über anonymous ftp zu einem remote FTP-Server (Port<br />
21). Um eine Datei zu übertragen, wählt der Client des Users zunächst einen beliebigen<br />
TCP-Port, an dem er die Datei erwartet. Der Client sendet ein PORT-Kommando, um<br />
diese Wahl dem Server mitzuteilen. Der Server antwortet, indem er eine aktive TCP-<br />
Verbindung zu dem angegebenen Host öffnet <strong>und</strong> die Datei versendet. Ist das Netz des<br />
Clients durch eine <strong>Firewall</strong> geschützt, so wird die Datenübertragung fehlschlagen, da der<br />
Server ja einen von der <strong>Firewall</strong> geschützten, internen Port öffnen möchte. Eine <strong>Firewall</strong><br />
untersucht die Daten nach einem speziellen PORT - Befehl. Hat die <strong>Firewall</strong> diesen<br />
entdeckt, so läßt sie eine Verbindung zwischen Remote Host <strong>und</strong> internem Client zu, da<br />
die Anfrage <strong>für</strong> eine solche Verbindung ja vom internen Client kam. Ist diese Verbindung<br />
erst hergestellt, so kann sie beliebig lange bestehen bleiben. Öffnet ein bösartiger interner<br />
Nutzer eine FTP-Verbindung nach außen <strong>und</strong> gibt an, die Datei auf Port 23 (dem Telnet-<br />
Port) oder einem beliebigen anderen zu erwarten, so kann der Remote Host eine Telnet-<br />
Verbindung zum Client erstellen. Dieser Angriff läßt sich mittels Java/Avtive-X/ VBSkript<br />
auch von externen Angreifern ausführen <strong>und</strong> gehört zu den erfolgreichsten Angriffen<br />
überhaupt. Es ist eine fehlerhafte Implementierung des PASV - Mechanismus in einem<br />
FTP-PROXY unter der sehr viele <strong>Firewall</strong> - Proxy´s leiden. Es ermöglicht den Aufbau<br />
eines Tunnels durch die <strong>Firewall</strong> hindurch, um z.B. Server im Intranet fernzusteuern, oder<br />
Daten zu entführen.<br />
23.15 Veränderungen an Adreßbüchern <strong>für</strong> E-Mail<br />
Viele E-Mail Clients (Lotus, P-Mail, Exchange, Netscape.....) besitzen ein veränderbares<br />
Adreßbuch, welches teils von Usern selber oder unternehmensweit von Adminsitratoren<br />
gepflegt wird. Angreifer interessieren sich <strong>für</strong> solche Adreßbücher, vor allem, wenn sie den<br />
ganzen K<strong>und</strong>enstamm enthalten. Es ist z.B. möglich, sich als Nichtk<strong>und</strong>e auf eine<br />
hausinterne Mailingliste zu setzen <strong>und</strong> so viel über das Unternehmen selber <strong>und</strong> seine<br />
Mitarbeiter zu erfahren.<br />
23.16 Beschreibung von Back Orifice, genannt BO<br />
BO ist ein Werkzeug zur Fernadministration eines Servers oder einer Arbeitsstation.<br />
Voraussetzung ist, daß das Serverprogramm irgendwie so in den Startmechanismus<br />
eingeb<strong>und</strong>en ist, daß es jedesmal BO startet. BO arbeitet nicht wie ein Virus, sondern<br />
muß remote installiert werden. Hier muß der Angreifer R/W - Zugriff auf die Festplatte C:<br />
des Rechners (Windows 95/98/NT) bekommen. Am meisten waren in der Vergangenheit<br />
Rechner betroffen, die via Modem oder ISDN sich direkt in das Internet eingewählt haben,<br />
<strong>und</strong> gleichzeitig Ihre Festplatte allgemein via NetBIOS (over TCP/IP oder IPX) freigegeben<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins