Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Abschaltung aller benötigten Dienste<br />
Um Interaktionen vorzubeugen, werden erst alle benötigten Dienste vorübergehend<br />
deaktiviert. Der Gr<strong>und</strong> liegt in den möglichen Interaktionen zwischen den Diensten, die zu<br />
Fehlern <strong>und</strong> neuen Problemen führen können. Es ist oft auch nicht klar, welcher Dienst auf<br />
welche Datei des Filesystems zugreift.<br />
Anschaltung eines jeden Dienstes separat <strong>für</strong> sich<br />
Nun wird ein Dienst nach dem anderen aktiviert <strong>und</strong> untersucht. Von Interesse sind<br />
folgende Informationen:<br />
Auflistung des Befehlssatzes des Dienstes<br />
Um herauszufinden, welche Befehle ein Dienst einem Client zur Verfügung stellt <strong>und</strong> mit<br />
welchen Parametern diese aufgerufen werden können, ist es notwendig, sich zuerst die<br />
Dokumentation en in den RFC´s zu besorgen. Hier sind üblicherweise alle<br />
Kommunikationsprotokolle dokumentiert. Da es in der Praxis immer Unterschiede im<br />
Befehlssatz gibt, sollte man sich auch stets die originalen Dokumente des Herstellers<br />
durchlesen. Der Befehl HELP in einigen Dämonen (MAIL, FTP...) ist nicht als Referenz zu<br />
betrachten. Da es oft vom Hersteller nicht dokumentierte Befehle gibt, die nicht in den<br />
Referenzhandbüchern stehen, ist unbedingt auch der Quellcode mit heranzuziehen. Mit<br />
viel Aufwand lassen sich auch mit Hilfe eines einfachen HEX-Editors versteckte Befehle in<br />
Binaries entdecken.<br />
Überprüfung , welche Befehle gebraucht werden<br />
Nun muß überprüft werden, welche Befehle dieses Dienstes /Dämons wirklich gebraucht<br />
werden, <strong>und</strong> welche nicht. Es sind unbedingt alle nicht benutzten oder entbehrlichen<br />
Befehle zu entfernen, da mit jedem weiteren Befehl die Zahl der zu überprüfenden<br />
Kombinationsmöglichkeiten quadratisch ansteigt.<br />
Abschaltung aller unwichtigen Befehle<br />
Nun können aus dem Quellcode Befehle <strong>und</strong> Routinen entfernt werden. Es ist eine<br />
Neukompilierung erforderlich. Liegt der Quellcode nicht vor, so lassen sich mit Hilfe des<br />
HEX- Editors diejenigen Befehle mit Zufallszahlen überschreiben. Dies ist aber bestenfalls<br />
nur als Notlösung zu betrachten.<br />
Test auf buffer overflows der verbleibenen Befehle<br />
Nun müssen die verbleibenden Befehle auf mögliche buffer overflows überprüft werden.<br />
Hierzu reicht z.B. netcat oder socket unter UNIX, um einen Befehl mit überlangen<br />
Parametern an den Dämon oder das Dienstprogramm zu übergeben. Man sollte dann das<br />
Verhalten des Dämons bzw. des Systems beobachten. Gewöhnlich findet dann eine<br />
Verletzung des Speicherschutzes statt, oder es gibt Ausfälle bei Funktionen in Kernel oder<br />
anderen Diensten. Tritt auch bei einer massiven Bombardierung keine besonderen<br />
Fehlermeldungen (außer Syntax Error) oder anderen Effekte auf, so ist dieser Befehl ohne<br />
Gefahr einsetzbar. Bei Speicherschutzverletzungen oder coredump ist das<br />
Dienstprogramm verletzbar <strong>und</strong> somit nicht sicher. Während dieses Angriffs ist mit einem<br />
Debugger stets zu überprüfen, welche Betriebssystem - Routinen benutzt werden, <strong>und</strong> ob<br />
sich der Fehler nicht eventuell im Kernel oder in den Bibliotheken (libraries, DLL´s)<br />
befindet. Sollte dies der Fall sein, so ist der Quellcode des Betriebssystems bzw. der<br />
Bibliotheken betroffen. Da meist auch weitere getestete oder zu testende Dienste<br />
betroffen sind, lohnt es sich, diese Probleme sofort zu korrigieren. Mitprotokolliert werden<br />
muß auch, auf welche Files oder weitere Programme /Dienste /Dämonen der getestete<br />
Dämon zugreift bzw. zugegriffen hat. Hierzu gehören auch die shared libraries, die zur<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins