Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
sollte man stets sehr mißtrauisch gegenüber Downloads von Software aus dem Internet<br />
sein.<br />
Ein gutes Beispiel ist z.B. der DFN-CERT (http://www.cert.dfn.de), der stets den Server<br />
überwacht <strong>und</strong> auch glaubhaft machen kann, daß die Sicherheitsvorkehrungen auch<br />
ausreichend sind. Im Gegensatz zu fast allen anderen Sites wird auch ausführlich<br />
beschrieben, wie der Server abgesichert wurde, <strong>und</strong> mit welchen Werkzeugen dies<br />
geschehen ist. Dabei kommt es entscheidend darauf an, ob der Systemadministrator<br />
nachweisen kann, daß alle wichtigen Untersuchungen (buffer overflow....) auch<br />
stattgef<strong>und</strong>en haben <strong>und</strong> mehrfache Sicherheitsabsicherungen (chroot(), chuid()) installiert<br />
sind. Allein die Angabe, daß z.B. Windows NT <strong>und</strong> <strong>Firewall</strong>-1 im Einsatz sind, ist völlig<br />
unzureichend, <strong>und</strong> grob irreführend.<br />
Der DFN CERT verfügte über lange Zeit nur über einen modifizierten CERN HTTPD<br />
Server unter FreeBSD <strong>und</strong> einen einfachen PAKETFILTER, DRAWBRIDGE. Dieser<br />
kostenlose <strong>und</strong> relativ einfache, dynamische Packetfilter hat unzähligen Angriffen<br />
standgehalten. Der Hauptgr<strong>und</strong> <strong>für</strong> die Sicherheit lag einfach darin, daß die Security Policy<br />
konsequent umgesetzt <strong>und</strong> auch strikt befolgt wurde.<br />
24.1 Analyse eines Programmes aus dem Internet<br />
Um einfach mal zu zeigen, wie auch ein völlig unerfahrener Administrator ein (vermutlich)<br />
trojanisches Pferd entdecken kann, sei hier in kleinen Schritten beschrieben, wie man z.B.<br />
NEOPLANET, einem Aufsatz auf den Internet-Explorer die kleinen Schweinereien seiner<br />
Programmierer entlocken kann. NEOPLANET sei nun ein vermutlich trojanisches Pferd,<br />
ein Kommentar von Neoplanet selber findet sich im Anschluss. Das Verfahren ist auch auf<br />
andere Betriebssysteme anwendbar.<br />
Wir beginnen mit der Installation von Neoplanet auf einem Rechner mit Netzwerkkarte,<br />
jedoch ohne diesen an das Netzwerk anzuschließen<br />
Nach der Installation kann man Neoplanet über das Startmenü erreichen. Mit Hilfe der<br />
rechten Maustaste lassen wir uns über "Eigenschaften" das Verzeichnis der Datei<br />
Neo20.exe anzeigen. Dies ist das Programm, welches wir auf "Schweinereien"<br />
untersuchen wollen.<br />
Wir installieren uns einen <strong>LINUX</strong> Host, den wir mit dem Arbeitsplatz - PC verbinden. Es<br />
muß ein User angelegt werden, z.B. user1 mit dem Paßwort: 4R5.<br />
Man öffnet eine DOS Shell <strong>und</strong> wechselt in das Verzeichnis des zu untersuchenden<br />
Programmes, hier ist es C:\\programme\neoplanet. Mit ftp IP-<strong>LINUX</strong>-HOST, dem Login<br />
von user01 <strong>und</strong> dem gültigen Paßwort kann man nun das Programmm mit put neo20.exe<br />
auf den <strong>LINUX</strong> Host herüber kopieren.<br />
Nun kann man das Programm auf dem <strong>LINUX</strong> Host untersuchen:<br />
Wir benutzen den Befehl "strings", um ASCII Zeichenketten aus dem .EXE File zu<br />
extrahieren. Der Befehl funktioniert mit ausführbaren Programmen von allen Intel<br />
Betriebssystemen. Wir leiten die Ausgabe in ein File, welches wir danach mit einem Editor<br />
noch ein wenig bearbeiten:<br />
user01@tunix:~ > strings Neo20.exe >> neo20.strings<br />
user01@tunix:~ ><br />
Danach öffnen wir mit "joe" die Datei neo20.strings <strong>und</strong> kämpfen uns mit "strg-k v" bis zum<br />
Ende der Datei vor. Alle relevanten Strings befinden sich am Ende des .EXE Files. Die<br />
Stings werden zumeist vor der Angabe des Compiler Herstellers eingeleitet, hier ist es z.B.<br />
Microsoft, an anderen Fällen könnte es Borland sein. Die verwendete<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins