Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
entspricht exakt derjenigen, die im Checkpoint <strong>Firewall</strong>-1 "SynDefender Gateway" zum<br />
Einsatz kommt.<br />
14.19 TCP sequence number checking<br />
SINUS <strong>Firewall</strong> kann einige weitere Angriffe wirkungsvoll bekämpfen, die vielen Anbietern<br />
noch Probleme bereiten:<br />
Spoofing<br />
• Sequence number guessing<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins<br />
Das Erraten der Sequenznummer ist ein Angriff der nur in derselben<br />
collision domain funktioniert. Nach der Herstellung einer normalen ftp<br />
oder telnet Verbindung kann ein Angreifer, sofern zwischen Client <strong>und</strong><br />
Server TCP Pakete mit Seriennummern ausgetauscht werden, die einem<br />
bestimmten Muster folgen. Beispielsweise ist es unter BSD-UNIX üblich<br />
die Inkrements dieser Seriennummern auf 128.000 festzusetzen. In dem<br />
falle, daß ein Angreifer die TCP- Sequenznummern im Vorhinein<br />
bestimmen kann, ist es ihm somit möglich, in einen Datenstrom seine<br />
eigenen Befehle mit hinein zu schleusen. Wenn er aufgr<strong>und</strong> dessen, daß<br />
er ja alle Pakete, die bisher zwischen Client <strong>und</strong> Server ausgetauscht<br />
wurden, zudem noch in der Lage ist, die Prüfsummen korrekt vorher zu<br />
berechnen <strong>und</strong> schneller, als der "echte" Client zu senden, dann hat der<br />
die Verbindung übernommen. Dieser Trick wird noch sehr häufig<br />
angewendet <strong>und</strong> ist unter "session hijacking" bekannt. Allerdings sind<br />
hierzu noch einige Voraussetzungen notwendig. Erstens muß er schneller<br />
auf den Server zugreifen können, als der echte Client, zweitens muß er<br />
gleichzeitig "gespoofte" Pakete erzeugen <strong>und</strong> sämtliche zwischen Client<br />
<strong>und</strong> Server ausgetauschten Pakete mitlauschen können, <strong>und</strong> zudem<br />
einen schnellen Rechner besitzen. Programme, die diese Berechnungen<br />
durchführen, gibt es überall im Internet zu finden. Der Aufenthaltsort des<br />
Angreifers muß sich also entweder sehr nahe am Client oder am Server,<br />
oder irgendwo zwischen diesen beiden Clients befinden. Hierzu müßte er<br />
sich direkt in eine der Verbindungsleitungen auf dem Weg zwischen<br />
Client <strong>und</strong> Server einklinken. Ohne diese Voraussetzungen würde ein<br />
solcher Angriff kaum sofort gelingen, <strong>und</strong> die <strong>Firewall</strong> würde einen<br />
solchen Angriff schnell bemerken können.<br />
• TCP Prüfsummen<br />
Die Überprüfung der TCP - Prüfsummen bei einigen <strong>Firewall</strong>s im Falle<br />
dessen, daß ein SYN, RST oder FIN Segment eintrifft, wird vom TCP/IP<br />
Stack nicht mehr durchgeführt. Ein Angreifer kann also, wenn er weiß,<br />
daß die <strong>Firewall</strong> diese nicht mehr korrekt durchführt, Pakete so<br />
konstruieren, daß mehrere simultane, genau vorher berechnete<br />
Sequenzen dann durch die <strong>Firewall</strong> tunneln können, wenn eine der<br />
Sequenzen ein RST oder FIN enthält. Die bis dahin im Eingangsbuffer<br />
des TCP/IP Stacks eingegangenen Pakete werden also als Pakete mit<br />
korrekter Prüfsumme betrachtet, <strong>und</strong> vom äußeren Filter (outbo<strong>und</strong>) an<br />
den inneren Filter (inbo<strong>und</strong>) übergeben, den diese Pakete dann auch,<br />
sofern sie korrekt berechnet wurden, überqueren können. Alle anderen<br />
Hilfspakete werden dann schon am äußeren Filter gelöscht, sie haben<br />
dann aber schon ihren Zweck erfüllt. Um diesen Angriff ausführen zu<br />
können, muß der Angreifer sich sehr nahe an der <strong>Firewall</strong> selber<br />
befinden, da es hierbei auf exaktes Timing im Millisek<strong>und</strong>enbereich oder<br />
weniger ankommt.