Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Besonders beliebt ist ein Angriff, der ein wenig der Mithilfe einer Arbeitsstation im<br />
Netzwerk bedarf. Hierzu sendet man an einen beliebigen Benutzer in einem Unternehmen<br />
unter einem Vorwand ein Programm, welches dieser dann startet. Was er nicht weiß, daß<br />
dieses Programm, mit der gespooften (vorgetäuschten) Adresse eines Servers oder der<br />
<strong>Firewall</strong> eine Verbindung zu einem Server im Internet aufbaut. Die <strong>Firewall</strong>, in Erwartung<br />
eines Datenstromes von diesem Server als Antwort läßt somit Pakete eines Angreifers,<br />
die an die <strong>Firewall</strong> oder einen Server im geschützten Netzwerk adressiert sind, passieren.<br />
Woher sollte die <strong>Firewall</strong> wissen, daß es nicht der Server oder die <strong>Firewall</strong> selber war, die<br />
die Verbindung aufgenommen hat. Bei einer vorgetäuschten FTP-Verbindung, z.B. könnte<br />
mit dem Befehl PORT 23 der <strong>Firewall</strong> signalisiert werden, daß ein Datenstrom aus dem<br />
Internet zum inneren Server auf Port 23 (telnet) zuzulassen ist. Der Angreifer hätte somit<br />
aus dem Internet auf den internen Server über die <strong>Firewall</strong> hinweg Zugriff.<br />
Window Oversize<br />
Server mit sehr schneller Anbindung sind einer zusätzlichen Gefahr ausgesetzt.<br />
Sequenznummern müssen in ein gewisses Fenster fallen. Zu Beginn einer TCP-<br />
Verbindung wird dem Server vom Client mitgeteilt, daß ab der "initial seqeuence number"<br />
(ISN) sich alle übermittelten Sequenznummern (SSN) in einem bestimmten Fenster<br />
befinden müssen. In "high speed networks" kann es somit passieren, daß ein Angreifer<br />
Pakete erzeugt, die ähnlich wie beim "session hijacking" da<strong>für</strong> sorgen, daß ein "wrapping"<br />
der SSN´s, also ein Umbruch über das Maximum von 32 Bit stattfindet, <strong>und</strong> die SSN´s im<br />
untersten Bereich der möglichen SSN´s fortgeführt werden. Somit kann es einem<br />
Angreifer gelingen, das die <strong>Firewall</strong> Pakete passieren läßt, obwohl die die SSN´s falsch<br />
sind. Dieser Angriff ist nur dann möglich, wenn in hispeed networks der TCP/IP-Stack der<br />
<strong>Firewall</strong> die SSN´s nicht entsprechend mit dem vom Client vorgeschlagenen Fester<br />
(window size) vergleicht, nach "between", "before" <strong>und</strong> "after" differenziert, <strong>und</strong> Pakete,<br />
deren SSN nicht in das Fenster fällt, blockt. Einige Serverbetriebsysteme differenzieren<br />
nicht. Auch einige <strong>Firewall</strong>s, die sich zu Clustern zusammenkoppeln lassen, sparen sich<br />
diese Abfrage besonders in Hinsicht des Falles, daß die Verbindung erfolgreich zustande<br />
gekommen ist (connection established state). Sie tauschen nur bei der Einleitung<br />
(connection establishment), also während der SYN-SYN/ACK Sequenzen <strong>und</strong><br />
Beendigung (connection termination), bzw. während der RST/RST oder FIN/FIN<br />
Übermittlung Informationen über das Fenster aus. Gr<strong>und</strong> dieses Vorgehens ist, daß ein<br />
Datenaustausch zwischen den <strong>Firewall</strong>s über Verbindungszustände <strong>und</strong> dynamische<br />
Filterregeln nur bei Anfang <strong>und</strong> Ende einer Übertragung stattfinden muß. Falls sich<br />
<strong>Firewall</strong> Cluster auch noch nebenher über die windows size der einzelnen HiSpeed<br />
Verbindungen kontinuierlich austauschen müßten, wären wohl die <strong>Firewall</strong>s etwas<br />
überfordert. Angesichts der Tatsache, daß fehlerhafte Prüfsummen ein RESET Signal an<br />
die Sourceadresse zur Folge haben, könnte hiermit eine <strong>Firewall</strong> als RESET- Generator<br />
mißbraucht werden. Sämtliche an den Backbone angeschlossene Hosts sind in Gefahr,<br />
durch eine Flut von RESETs mit geschickt gewählten , gespooften IP - Nummern von dem<br />
Rest der Welt abgeschnitten zu werden.<br />
DoS mit falschen Prüfsummen<br />
Pakete mit falschen TCP Prüfsummen, die von der <strong>Firewall</strong> nicht frühzeitig aussortiert<br />
werden, können den TCP/IP Stack übermäßig stark beanspruchen <strong>und</strong> evtl. auch<br />
korrumpieren.<br />
Windows scale option<br />
Wie in RFC 1323 in den Erweiterungen <strong>für</strong> Hochgeschwindigkeitsnetze beschrieben, kann<br />
die "window size", in die die TCP SSN´s fallen müssen, auf 32 Bit erweitert. Sie kann nur<br />
im SYN segment initiiert werden <strong>und</strong> muß von beiden Hosts unterstützt werden (window<br />
scale option). Beim Einsatz von Servern in Hispeed LAN´s ist die Erweiterung auf 64 Bit<br />
zu empfehlen (<strong>LINUX</strong> <strong>2.2</strong>, Solaris, NetBSD)<br />
PASV Modus bei FTP<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins