Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
schreiben, <strong>und</strong> per E-Mail an Mitarbeiter von Unternehmen zu versenden. Dieses von mir<br />
verwendete .EXE Programm hat einen Portscan über alle IP-Nummern des<br />
Netzwerkesbereiches der Arbeitsstation <strong>und</strong> einige Broadcast Pakete in das Intranet<br />
versendet. Keine der Firmen hat diese bemerkt <strong>und</strong> Nachforschungen angestellt. Einige<br />
Systemadministratoren haben bei einer anschließenden Besprechung diese zwar Scans<br />
bemerkt, konnten jedoch die Ursache <strong>und</strong> Herkunft nicht ergründen.<br />
Abschließend möchte ich behaupten, daß man jede Person die eine Zertifizierung als<br />
MCSD besitzt <strong>und</strong> die die Möglichkeiten kennt (nach der Lektüre diese <strong>Handbuch</strong>es<br />
spätestens hat sie diese), wie man Angriffswerkzeuge schreibt, schon als potentiellen<br />
Cracker betrachten muß, der über das Wissen verfügt, in beliebige Unternehmen<br />
vorzudringen, <strong>und</strong> Informationen aus diesen in das Internet zu entführen.<br />
32. Was Hersteller kommerzieller <strong>Firewall</strong>s verschweigen<br />
Es gibt eine ganze Menge von kleinen Details, die Hersteller von renomierten <strong>Firewall</strong>s<br />
gerne verschweigen. Man trifft auf diese Details dann, wenn man aus den RFC´s sich ein<br />
ganz bestimmtes Protokoll heraussucht, <strong>und</strong> dieses genau analysiert. Im Quellcode von<br />
<strong>LINUX</strong> <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong> ist im Verzeichnis /usr/src/linux/net/ipv4 der Code der REALAUDIO,<br />
CUSEEME <strong>und</strong> VDOLIVE Videokonferencing Protokolle zu finden.<br />
Eine Besonderheit bei vielen Videokonferencing Protokollen ist, daß diese auf UDP<br />
Übertragungen beruhen. Darin enthalten ist das RTP (Real Time Protocol), welches <strong>für</strong><br />
einen Ausgleich bei Schwankungen der Übertragungsgeschwindigkeit sorgt. Allen<br />
Protokollen gemeinsam ist, daß die Übertragung durch ein TCP Paket z.B. auf Port 554<br />
<strong>und</strong> 7070 (REALAUDIO) initiiert wird. Daraufhin sorgt der PROXY- Mechanismus da<strong>für</strong>,<br />
daß <strong>für</strong> eine Zeit von ca. 30 Sek<strong>und</strong>en die <strong>Firewall</strong> <strong>für</strong> UDP Pakete aus dem Internet<br />
transparent wird. Das bedeutet, daß ein Surfer hinter der <strong>Firewall</strong> <strong>für</strong> Angriffe von dem<br />
REALAUDIO Server <strong>und</strong> von beliebigen anderen Host im Internet, die mit gespooften<br />
Adressen arbeiten, verletzlich wird. Diese systematischen Löcher in <strong>Firewall</strong>s wurden in<br />
keinem mir bekannte Falle auch nur erwähnt oder sogar getestet. Dasselbe betrifft auch<br />
RPC, also Protokolle, die sich aus TCP <strong>und</strong> UDP Paketen zusammensetzen. RPC´s<br />
werden insbesondere von PDC´s <strong>und</strong> BDC's unter NT benutzt, also den Primary Domain<br />
Controller in Netzwerken mit mehreren NT Servern.<br />
Haben Sie sich noch nicht gefragt, über welchen Port, mit welchen<br />
Verschlüsselungsalgorithmen <strong>und</strong> mit welchen Standard Paßworten sich Windows NT<br />
Server untereinander austauschen ? Das Problem wird insbesondere dann interessant,<br />
wenn es darum geht, die Security Policy umzusetzen. Angenommen, jede einzelne<br />
Abteilung eines Unternehmens wird mit einer eigenen <strong>LINUX</strong> <strong>Firewall</strong> ausgestattet <strong>und</strong><br />
kann selber bestimmen, wer worauf Zugriff haben darf. Das komplexe RPC Protokoll muß<br />
dann über die <strong>Firewall</strong> hinweg übertragen werden. Welche Ports werden von Windows NT<br />
geöffnet, welche Protokolle werden wie übertragen, <strong>und</strong> wann können Ports wieder<br />
geschlossen werden. Alle diese Fragen sollten Sie im mitgelieferten <strong>Handbuch</strong> Ihres<br />
Betriebssystems <strong>und</strong> Ihrer <strong>Firewall</strong> finden.<br />
Ein weiteres Problem betrifft SQL Datenbanken, welche mit <strong>Firewall</strong>s gesichert werden<br />
müssen. In vielen Fällen ist die Vertraulichkeit der Daten <strong>für</strong> Unternehmen<br />
überlebenswichtig. Leider hat es in der Vergangenheit mit u.a. auch mit ORACLE <strong>und</strong><br />
MSQL vor kurzem Fälle von Buffer Overflows gegeben, sodaß wichtige Daten des<br />
Unternehmens ins Internet verschw<strong>und</strong>en sind.<br />
Welche Parameterlängen kann der <strong>Firewall</strong>-Proxy abfangen, um Buffer Overflows zu<br />
vermeiden ? Wird die Syntax der SQL Statements auf Zulässigkeit geprüft ? Wie man<br />
schon erahnen kann, muß mit kommerziellen <strong>Firewall</strong>s <strong>und</strong> Betriebssystemen erheblich<br />
kritischer umgegangen werden.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins