Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Test von verschlüsselten Systemen<br />
Nun, <strong>für</strong> SSH z.B. ist bereits ein Exploit in bugtraq zu finden. Damit können Cracker<br />
bereits in einen Server einbrechen, bevor der Dämon überhaupt nach einem Paßwort<br />
fragt. Für SSL-Server gestaltet sich der Test nicht so einfach, man muß zudem zwischen<br />
den verwendeten SSL - Versionen unterscheiden. Für SSL V2 gibt es im Quellcode<br />
Software <strong>für</strong> einen PROXY. Diese Verschlüsselungsroutinen kann man benutzen, um<br />
netcat sockets lynx o.ä. Software um diese Routinen zu erweitern. Zum Test von SSL V3<br />
muß man diese Mechanismen dort einbauen, da hier ein PROXY (MITM) nicht toleriert<br />
wird. Zum testen von SSL V2 kann man obiges Verfahren anwenden, um die Daten über<br />
einen geringfügig modifizierten SSL- Proxy zu senden, der dann seinerseits einen<br />
verschlüsselten Tunnel zum System aufbaut. Da kann z.B. mit der SSL-Version von<br />
netcat oder socket erfolgen. Der Zugang zum Tunnel kann dann unverschlüsselt<br />
stattfinden. Da dieser Angriff etwas komplexer ist, ist zu vermuten, daß auch die Hersteller<br />
keine Ahnung haben, ob <strong>und</strong> welche Gefahren drohen. Es ist aber stark zu vermuten, daß<br />
sich hinter der Barriere der Verschlüsselung wieder ein normaler WWW-Server mit allen<br />
bekannten Sicherheitsproblemen verbirgt. Der Revisionsstand dürfte hinter seinen<br />
unverschlüsselten Kollegen etwas hinterher hinken, daher sind diese Systeme die<br />
Nummer 1 auf der Liste von professsionellen Angreifern. Der Support <strong>für</strong> SSL -V3 Proxies<br />
in <strong>Firewall</strong>s beschränkt sich stets auf die Freigabe des Ports 663, ein Schutz besteht auch<br />
hier nicht. Ich habe persönlich einmal einige SSL HTTP Server unter Laborbedingungen<br />
untersucht, <strong>und</strong> Angriffe mit den typischen exploits durch einen SSL Tunnel durchgeführt.<br />
Dabei haben sich einige erfolgversprechende Angriffsmöglichkeiten mit buffer overflows<br />
ergeben.<br />
chroot() Umgebung <strong>für</strong> Dienste/Dämomen<br />
Die noch verbleibenden Dämonen sollten mit minimalen Userrechten in einer chroot()<br />
Umgebung gestartet werden. Der chroot() Umgebung ist ein eigener Abschnitt gewidmet.<br />
Siehe chroot().<br />
29. Security Auditing<br />
Ein Security Audit insbesondere nach der Installation einer <strong>Firewall</strong> wird von vielen Firmen<br />
als besonders wichtige Aufgabe betrachtet. Hierzu wurden Portscanner, Security Scanner,<br />
DoS Simulatoren, wie z.B. Ballista, u.s.w. herangezogen. Eine beliebte Aufgabe <strong>für</strong> Tiger<br />
Teams war es bisher, aus dem Internet eine bestimmte Datei von einem Server im<br />
Unternehmen zu stehlen. Nach einigen simulierten Angriffen auf von professionellen<br />
Firmen <strong>und</strong> von einigen CERT Organisationen als "sicher" eingestuften Internet<br />
Anbindungen, halte ich Security Audits generell <strong>für</strong> unseriös. Diese teilweise 5 - stelligen<br />
Summen, die da<strong>für</strong> ausgegeben werden, um gegenüber Melissa & Co unwesentliche<br />
Sicherheitsprobleme zu erkennen <strong>und</strong> zu beseitigen sind (IMHO) völlig fehlinvestiert.<br />
Seriöses Security Auditing kann sich aufgr<strong>und</strong> der Komplexität der Software (oft mehrere<br />
h<strong>und</strong>ert Mannjahre) nur auf ganz wenige, sehr spezielle Installationen beziehen.<br />
Beispielsweise könnten dies Datenschnittstellen zu Banking Systemen oder zu<br />
Warenwirtschaftssystemen sein. Hierbei werden Filter <strong>für</strong> genau definierte Protokolle <strong>und</strong><br />
Daten programmiert. Nur in einem solche genau definierten <strong>und</strong> begrenztem Umfeld ist es<br />
möglich, mit hoher Sicherheit behaupten zu können, diese Anbindung sei sicher <strong>und</strong> auch<br />
nicht duch DoS Angriffe zu stören.<br />
30. PERL Sicherheit bei WWW-Servern<br />
Die Absicherung von WWW-Servern, auf denen CGI-Skripte laufen, ist allein mit einer<br />
<strong>Firewall</strong> nicht möglich. Angenommen, man würde vor einem WWW-Server eine <strong>Firewall</strong><br />
Erstellt von Doc Gonzo - http://kickme.to/plugins