Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Ich selber habe einer ganzen Reihe von Security Consultants bei verschiedenen<br />
Gelegenheiten einmal auf den Zahn gefühlt. Zugegeben, <strong>für</strong> Spezialisten waren diese gut<br />
über neue Sicherheitslücken in Betriebssystemen informiert, sofern diese auch<br />
veröffentlicht waren. Als es allerdings um Erfahrungen als Programmierer ging, da wurde<br />
die Luft schon dünner. Eigenständig Sicherheitsprobleme auffinden <strong>und</strong> einen Exploit<br />
schreiben, dazu war kaum jemand in der Lage. Wer einem Security Consultant auf den<br />
Zahn fühlen möchte, der sollte sich davon überzeugen, daß dieser einen standardmäßig<br />
installierten NT 4.0 Server mit SP5 am Netz zumindest zu einem "bluescreen" von einer<br />
Arbeitsstation aus bewegen kann, natürlich ohne die im Internet verbreiteten, fertigen<br />
"exploits" zu benutzen. Als Hilfmittel sollte C, C++, PERL völlig ausreichen. Auf<br />
Schulungen zu <strong>Firewall</strong>s werden häufig vorbereitete "exploits" demonstriert, die dann<br />
Server zum Absturz bringen, oder unter UNIX eine ROOTSHELL öffnen. Diese DEMO´s<br />
sind nichts weiter als einfache Schau. Die Werkzeuge da<strong>für</strong> finden sich z.B. auf der<br />
Domain http://www.rootshell.com.<br />
Ganz problematisch wird es beim Auditing. Die Aufgabenstellung ist oft dieselbe:<br />
Überprüfung der Sicherheit einer bestehenden <strong>Firewall</strong>-Installation. Es ist mit etwas<br />
Hintergr<strong>und</strong>wissen recht einfach, die typischen Schwachstellen einer Anbindung ausfindig<br />
zu machen. Diese auch auszunutzen, dazu gehört etwas Programmiererfahrung mit<br />
Microsoft Visual C++ oder Visual Basic. Der Rest ist Routine. Ich persönlich halte jede Art<br />
von Auditing <strong>für</strong> völlig unseriös, da in der Vergangenheit immer wieder neue<br />
Sicherheitslücken aufgedeckt wurden, die Systemadministratoren während ihrer täglichen<br />
Arbeit garnicht alle schnell genug stopfen können. Auch eine Firma, die einen<br />
Wartungsauftrag <strong>für</strong> eine Internet-Anbindung erfüllt, kann nicht so schnell die Patches<br />
aufspielen, wie ein Cracker die neu entdeckten Sicherheitslücken ausnutzen kann. Allein<br />
schon ein Vorsprung von 10 Minuten nach einer Veröffentlichung im BUGTRAQ Archiv<br />
würde schon ausreichen, um in ein Netzwerk vorzudringen.<br />
Auditing kann sich also nur auf eines konzentrieren: Die Analyse <strong>und</strong> Auswertung der<br />
Logfiles, damit ein Einbruch <strong>und</strong> ein Datendiebstahl auch bemerkt werden kann. Hierzu<br />
muß <strong>und</strong>bedingt ein Einbruch durchgeführt, <strong>und</strong> dann analysiert werden, warum der<br />
Systemadministrator mal wieder nichts bemerkt hat, oder bemerken konnte. So ist es<br />
jedenfalls den Sicherheitsexperten einiger Banken <strong>und</strong> Forschungslabors einiger<br />
Chemiekonzernen gegangen, deren Anbindung ich (im Auftrag) überprüfen mußte. Alle<br />
Anbindungen waren professionell installiert <strong>und</strong> von einer unabhängigen Firma/Institut<br />
zuvor überprüft worden. Siehe hierzu auch Kapitel Stories. In fast allen Fällen ist das von<br />
diesen Firmen verwendete Werkzeug der ISS Security Scanner, der typische Fehler<br />
aufdecken kann. Ein seriöser Cracker würde niemals auch nur auf die Idee kommen, eine<br />
bekannte Sicherheitslücke <strong>für</strong> seinen Angriff zu benutzen. (Das ist der Unterschied<br />
zwischen Crackern <strong>und</strong> Lamern). Die sogenannten Security Scanner oder Exploits werden<br />
immer nur von sogenannten "lamern" (Trittbrettfahern) , niemals aber von Profi´s mit<br />
einem gezielten Auftrag verwendet.<br />
Wer also in den Logfiles seiner <strong>Firewall</strong> mal wieder einen Angriff verzeichnet sieht, der<br />
kann absolut sicher sein, daß hier keine Profis am Werk waren. Aus diesem Gr<strong>und</strong>e sind<br />
die so gerne in seriösen IT Zeischriften angeführten Statistiken <strong>und</strong> Umfragen zu<br />
registrierten Angriffen völliger Blödsinn.<br />
Nach meinen Erfahrungen werden 95% aller Angriffe auf WWW-Server <strong>und</strong> eine etwas<br />
höhere Zahl von Angriffen auf Server über Arbeitsstationen nicht bemerkt. Die Zahlen bei<br />
WWW-Servern begründen sich <strong>LINUX</strong> Server mit SPARC <strong>und</strong> ARM Prozessor im Internet,<br />
die von mir speziell konfiguriert wurden, um bekannte <strong>und</strong> unbekannte buffer overflows<br />
zu registrieren. Da von fast allen Angreifern buffer overflows verwendet wurden, die auf<br />
INTEL Prozessoren zugeschnitten wurden, war es möglich, diese Angriffe zu registrieren<br />
<strong>und</strong> auszuwerten.<br />
Zur Schätzung der Angriffe <strong>und</strong> Angriffsmöglichkeiten auf Intranets habe ich in kleinem<br />
Rahmen an mir persönlich bekannte Mitarbeiter bei größeren <strong>und</strong> kleineren Unternehmen<br />
Mails mit Attachment versendet. Alle Mitarbeiter haben die Attachements geöffnet <strong>und</strong> die<br />
darin enthaltenen (harmlosen Programme) gestartet. Die Erfolgsquote liegt nahe den<br />
100%. Es ist <strong>für</strong> jeden von Microsoft zertifizierten MCSD möglich, Angriffswerkzeuge zu<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins