Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Laufzeit bzw. beim Start des Dienstes geöffnet werden. Falls hierbei Programme auf<br />
wichtige Konfigurationsdateien zugreifen, ist zu prüfen, ob eine race condition vorliegt.<br />
Das ist immer dann der Fall, wenn die Datei beim Lesezugriff durch den Dämon nicht<br />
durch schnelle Schreibversuche eines anderen Programms beschädigt werden kann. Ein<br />
Angreifer würde dann mit einem Debugger die Ursache im Binärcode suchen <strong>und</strong> einen<br />
exploit programmieren. Unter http://www.l0pht.com ist die Vorgehensweise <strong>für</strong> beliebige<br />
Betriebssysteme ausführlich beschrieben. Hierzu sind allerdings umgangreiche<br />
Kenntnisse in der Speicherarchitektur <strong>und</strong> in der Maschinensprache des Prozessors<br />
erforderlich.<br />
Korrektur des Quellcodes<br />
Es muß dann, falls Probleme existieren, im Quellcode an geeigneter Stelle eine Abfrage<br />
auf Überlänge einprogrammiert werden. Falls dies nicht möglich ist, weil entweder keine<br />
Quellcodes verfügbar sind, sollte man sich nach Alternativen umsehen. Dieses könnte die<br />
Portierung von Software auf das System, <strong>für</strong> die der Quellcode verfügbar ist, bedeuten,<br />
oder auch die Programmierung eines externen Filters, der speziell <strong>für</strong> diesen Befehl<br />
programmiert wurde. Der Reihe nach können so weitere Dämonen, deren Befehle,<br />
Parameter <strong>und</strong> Syntax überprüft werden. Hierbei sind besonders auf mögliche Probleme<br />
bei der Übergabe von überlangen Parametern oder besonderen Befehlen an andere<br />
Dämonen zu achten. bei jedem weiter in Betrieb genommenen Dienst ist stets auch der<br />
bereits geprüfte Dienst erneut zu testen, damit Sicherheitslücken bei den<br />
Parameterübergabe- Routinen entdeckt werden können.<br />
Externe Filter<br />
Man sollte meinen, daß Security Scanner erkennen können, ob ein Dienst verletzbar ist,<br />
oder nicht. Das können sie eindeutig nicht. Sogar renomierte Produkte, wie ISS -<br />
Securityscanner fragt nur die Versionsnumm ern der Dienstprogramme ab <strong>und</strong> schaut in<br />
einer Datenbank nach, ob evtl. ein Fehler bekannt ist. Er kann weder neue Lücken<br />
entdecken, noch erahnen. Da aber ein Dämon mehr als ein Problem haben kann, die<br />
bekanntesten sind. sendmail, ftp, DNS - Server, Exchange-Server, Proxy´s, SSH, SSL-<br />
Server, HTTP-Server..., ist ein Security Scanner gut, Hacker abzuwehren. Explizite<br />
Angriffe führen diese höchstens bei der Überprüfung von möglichen DoS Angriffen auf<br />
TCP/IP-Stacks durch. Professionelle Cracker verlassen sich nicht darauf, daß sie mal eine<br />
in BUGTRAQ veröffentlichte Sicherheitslücke mit dem oft gleichzeitig veröffentlichten<br />
exploit ausnutzen können, sondern sie spüren diese Sicherheitsprobleme selber auf.<br />
Welche Arbeiten können dann entfallen, welche nicht ?<br />
Man kann auf fast alle Korrekturen <strong>und</strong> Eingriffe im Betriebssystem verzichten. Wichtig ist<br />
aber eine äußerst detailierte Filterung alle Befehle, deren Syntax <strong>und</strong> deren<br />
Kombinationen, deren maximale Länge, Filterung der <strong>zurück</strong> erwarteten Datenpakete<br />
unter Berücksichtigung der Länge der Datensätze (z.B. bei SQL). Nicht entfallen kann die<br />
vollständige Analyse der Protokolle, der benötigten Befehle <strong>und</strong> die strenge Auswahl der<br />
nicht benötigten Dienste, da man <strong>für</strong> jeden Dienst einen eigenen (positiv) Filter<br />
programmieren muß.<br />
Können <strong>Firewall</strong>s diese Aufgabe übernehmen ?<br />
Wenn z.B. beim <strong>Firewall</strong>-1 von PROXY die Rede ist, so kann der Systemadministrator die<br />
Unterstützung diese Dienstes (z.B. SQL) in der <strong>Firewall</strong> aktivieren, filtern kann die <strong>Firewall</strong><br />
diesen dann aber noch lange nicht. Hierzu müßte man Zugriff auf die wohlgehüteten<br />
Geheimnisse der Datenbank <strong>für</strong> Checkpoint- Vertragshändler haben, die sich diese<br />
Abfrage aber mit einigen h<strong>und</strong>ert Mark pro St<strong>und</strong>e bezahlen lassen. Eine Garantie <strong>für</strong> die<br />
Unverletzbarkeit des zu schützenden Servers wird aber nur in Bezug auf die<br />
Auswertungsprotokolle des ISS Securityscanners gegeben. Sicher ist das System dann<br />
lange noch nicht.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins