|
|
| Zeile 3: |
Zeile 3: |
| | =Arten von Firewalls= | | =Arten von Firewalls= |
| | *[[Arten von Firewalls]] | | *[[Arten von Firewalls]] |
| − |
| |
| | =Angriffe= | | =Angriffe= |
| − | | + | *[[Angriffe]] |
| − | An das Internet angeschlossene Computer sind einer Vielzahl von Angriffen ausgesetzt, die verschiedene Absichten verfolgen. Manche Angriffe versuchen den Zielrechner zu beschäftigen, daß dieser keinen anderen Aufgaben mehr nachgehen kann, und somit für andere Computer im Netzwerk unerreichbar ist. Andere haben das Ziel, auf dem angegriffenen Computer Lese- und Schreibrechte zu erhalten, um Daten zu stehlen, manipulieren oder zu löschen. Wieder Andere sammeln lediglich Informationen über das Zielsystem, die sich später bei weiteren Angriffen vorteilhaft auswirken können.
| |
| − | | |
| − | In diesem Kapitel sollen Techniken und häufig auftretende, bekannte Angriffe kurz vorgestellt werden.
| |
| − | | |
| − | | |
| − | | |
| − | | |
| − | =Spoofing=
| |
| − | | |
| − | Beim IP-Spoofing wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält eine falsche Identität. Es gibt keinen verläßlichen Schutz gegen IP-Spoofing. Man kann sich nie sicher sein, ob ein Paket das ist, was es vorgibt zu sein.
| |
| − | | |
| − | Ein gefälschtes Paket läßt sich dadurch leicht in ein geschütztes lokales Netz einschleusen.
| |
| − | | |
| − | IP-Spoofing wird beispielsweise von Angreifern verwendet werden, um von sich abzulenken, und einem Anderen den Angriff anzulasten.
| |
| − | | |
| − | Außer dem IP-Spoofing gibt es noch weitere Arten von Spoofing, nämlich
| |
| − | | |
| − | DNS- und Web-Spoofing. Auf diese soll jedoch hier nicht näher eingegangen werden.
| |
| − | | |
| − | | |
| − | | |
| − | ==Source routed traffic==
| |
| − | | |
| − | | |
| − | Normalerweise wird der Weg (die Route), die ein IP-Paket zurücklegt, um von Punkt A nach Punkt B zu gelangen, durch die Router zwischen den beiden Endpunkten festgelegt. Das Paket gibt lediglich das gewünschte Ziel vor, nicht welchen Weg es gehen will.
| |
| − | | |
| − | Es ist möglich, Informationen über die Route, die das Paket gehen will, im Paket zu speichern. Die Router werten diese Informationen aus und leiten das Paket entsprechend weiter.
| |
| − | | |
| − | Hiermit lassen sich von einem Angreifer Pakete generieren, die vorgeben aus dem eigenen lokalen Netz (hinter der Firewall) zu stammen. Liegt das Ziel innerhalb des lokalen Netzes wird die Firewall diese Pakete auch dorthin senden. Dem Angreifer wäre es dadurch gelungen, die Firewall zu umgehen.
| |
| − | Source routed traffic sollte deshalb grundsätzlich nicht zugelassen werden.
| |
| − | Anmerkung: Source routed traffic läßt sich schon auf Kernelebene deaktivieren.
| |
| − | | |
| − | | |
| − | | |
| − | ==Denial of Service Angriffe==
| |
| − | | |
| − | Denial of Service (DoS) Angriffe binden Systemressourcen des Zielrechners. Dies kann im schlimmsten Fall dazu führen, daß das System nicht mehr erreichbar ist. DoS Angriffe lassen sich in Floods (binden Bandbreite, nutzen Rechenzeit des Ziels) und Disconnects unterteilen.
| |
| − | | |
| − | | |
| − | ==Flooding==
| |
| − | | |
| − | Beim Flooding (Fluten) wird das Ziel mit Unmengen von ICMP- (gewöhnlich) oder auch UDP-Paketen beschossen (überflutet). Die Folgen gehen bis zur Unerreichbarkeit des Ziels, da dieses vollständig mit der Bearbeitung der Pakete ausgelastet ist.
| |
| − | | |
| − | Bsp. Ping Flooding: Das Ziel wird mit Ping-Paketen (ICMP Message Type 8) beschossen und wird damit ausgelastet, die Ping-Pakete mit Echo-Reply-Paketen (ICMP Message Type 0) zu beantworten.
| |
| − | | |
| − | Bsp. Identification Flooding (Inetd): Dieser Angriff ähnelt einem gewöhnlichen ICMP Flood, es werden aber zusätzlich Informationen von TCP Port 113 angefordert. Dieser Angriff verbraucht mehr Rechenzeit als ein gewöhnlicher ICMP Flood, da die Antwort generiert werden muß.
| |
| − | | |
| − | Bsp. TCP SYN Flooding: Das SYN Flooding macht sich dem gewöhnlichen dreistufigen TCP Verbindungsaufbau zunutze. Das Ziel wird mit gespooften IP-Paketen beschossen, die eine Verbindung zu einem TCP basierten Dienst (z.B HTTP) aufbauen wollen. Es wird ein Paket mit gesetztem SYN Flag gesendet. Das Ziel beantwortet dieses Paket mit einer Nachricht, die SYN- und ACK-Flag gesetzt hat. Da die IP-Adresse gespooft ist, kommt es nie zu einer Antwort mit gesetztem ACK-Flag des Angreifers. Die TCP Verbindung bleibt in Ihrem halb geöffneten Zustand und verbraucht Systemressourcen, bis es zu einem Timeout der Verbindung kommt. Da neue Pakete schneller eintreffen, als alte Verbindungen durch den Timeout beendet werden, sind nach kurzer Zeit sämtliche Ressourcen des Ziels belegt. Es können keine weiteren Verbindungen beantwortet werden. Das Ziel ist damit ausgeschaltet.
| |
| − | | |
| − | Bsp. SMTP Session Hijacking: Hier wird der Mailserver des Ziels mit Mails überflutet, bis dieser für andere Computer nicht mehr erreichbar ist.
| |
| − | | |
| − | | |
| − | ==Portscanning==
| |
| − | | |
| − | Beim Portscanning werden die Ports des Ziels auf vorhandene Dienste geprüft. Dadurch erhält der Angreifer Informationen über mögliche Angriffspunkte auf dem Zielsystem.
| |
| − | Portscans dienen der Informationsgewinnung, verbrauchen aber auch Systemressourcen. Sie sind damit ein weiterer DoS Angriff, wenn auch weniger effizient wie andere DoS Formen. Portscans gehen häufig wirklichen Angriffen voraus.
| |
| − | Portscans beschränken sich häufig auf einige wenige, ausgesuchte Zielports, auf denen verbreitete Netzwerkdienste laufen. Diese Dienste haben in der Vergangenheit oft Schwachstellen in der Sicherheit aufgezeigt und sind ein idealer Ausgangspunkt für Angriffe.
| |
| − | Portscanning gilt trotz dieser für die Informationsgewinnung wichtigen Funktion als klassischer DoS Angriff, da eine entsprechende Anzahl an Scans gleichzeitig den Zielrechner blockieren kann.
| |
| − | | |
| − | | |
| − | ==Disconnects==
| |
| − | | |
| − | Durch Disconnects wird der Zugriff auf den eigenen Computer oder auf andere Rechner im Netzwerk verhindert. Bsp. ICMP Destination Unreachable: Bei diesem DoS Angriff wird ein gespooftes Destination-Unreachable-Paket (ICMP Message Type 3) an das Ziel gesendet. Das Ziel erhält die Nachricht, daß der Quellrechner nicht mehr erreichbar ist und beendet alle Verbindungen mit diesem Computer.
| |
| − | | |
| − | | |
| − | ==Hacks und Exploits==
| |
| − | | |
| − | Ein Hack ist eine Anwendung oder ein Paket, welches Schwächen in einem Betriebssystem, einer Anwendung oder einem Protokoll ausbeutet (engl.: to exploit). Die Folgen reichen vom Absturz des Ziels über Datendiebstahl bis zum vollständigen Datenverlust.
| |
| − | | |
| − | Bsp. Boink: Der Boink Hack ähnelt anderen Hacks, wie Bonk, Teardrop oder New Tear. Durch ungültige Paketfragmente, die nicht mehr korrekt zusammengefügt werden können, wird das Ziel zum Absturz gebracht.
| |
| − | | |
| − | Bsp. Land: Beim Land Hack versucht ein gefälschtes, angeblich vom Ziel stammendes Paket eine Verbindung zum Ziel aufzubauen. Das Ziel versucht mit sich selber eine Verbindung aufzubauen und stürzt ab.
| |
| − | | |
| − | Bsp. Winnuke: Winnuke nutzt einen Fehler im TCP/IP Stack der bekannten Windows Versionen (Win3.x, Win9x, WinNT 3.51, WinNT 4) aus. Spezielle Daten (out of bound data) werden an TCP Port 139 des Ziels geschickt. Als Folge davon stürzt das TCP/IP Protokoll ab und der Computer muß neu gebootet werden, will man die Funktionalität des Protokolls wieder herstellen.
| |
| − | | |
| − | | |
| − | | |
| | =FIREWALL TOPOLOGIEN= | | =FIREWALL TOPOLOGIEN= |
| | | | |
Firewall Begriffsdefinitionen
Arten von Firewalls
Angriffe
FIREWALL TOPOLOGIEN
Einfacher Paketfilter (wird kaum mehr eingesetzt)
Datei:Paketfilter1.dia
Einfacher Paktetfilter wird das Interne Netz mit einem Router an ein öffentliches Netz angebunden Der Router arbeitet aber selektiv. Das bedeutet das nur bestimmte Arten von Pakteten das passieren erlaubt wird anderen wird es nicht gewährt. Paketfilter arbeitet
auf den untersten 3 Schichten der TCP/IP- Achitektur.
Vorteile der Paketfilterung :
- kann ganzes Netzwerk schützen
Nachteile:
- Filterbeschreibungspachen sind nicht perfekt
- Nicht alle Sicherheitrichtlinen lassen sich durch sezten
Dual Homed Host(wird kaum mehr eingesetzt)
Datei:Dualhomedhost1.dia
Auf einem Dual Homed Host laufen sogenannte Proxys(Stellvetretter) Proxy arbeitet auf allen 4 Schichten der TCP/IP- Achitektur. Das bedeutet das sie mit dem Anwendungsprotoll in Berührung kommen. Wobei man zwischen 2 verschiedenen Arten unterscheiden kann
Diese Proxyarten kennen das Anwednungsprotokoll genau. Beispielsweise
squid aber auch ein chache-only Nameserver kann man als Application Level Proxy
bezeichnen.(~Dolmetscher in der realen Welt)
Diese Proxyarten kennen das Anwednungsprotokoll nicht. Sie „quatschen“ alles nur
nach oder setzen es um. Beispielweise socks oder delegated sind Circuit Level Proxys
(~Übersetzungsprogramm in der realen Welt)
Vorteile:
- Anwendungsspezifische Filterung
- Authetifikation auf Userebene
Nachteile:
- Neuere Protokolle werden nicht unterstützt
- Verschiedene Proxyserver für verschiedene Dienste notwendig
- Client müssen Verhalten ändern
Statefull Packet Inspection
Datei:StatefullPacketInspection.dia
Architektur mit überwachten Hosts
Datei:Architektur1.dia
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur
mit den Proxys auf dem Bastion Host.
Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
Datei:Architekturteilnetz1.dia
Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host
Datei:Geteitelstdualhost1.dia
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
Architektur mit zusammengelegtem inneren und äusseren Paketfilter
Datei:Paketfilterinnenaußen1.dia
Häufig haben kommerzielle Produkte diese Layout
Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen
Datei:Innenaußengrenznetze.dia
Architektur mit mehreren Grenznetzen
Datei:Grenznetzen1.dia
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.