cdn.preterhuman.net · Nächste Seite: Inhalt € Inhalt € Index Diplomarbeit an der...

Nächste Seite: Inhalt Inhalt Index

Diplomarbeit an der Fachhochschule München

Konzeption und Realisierung eines Firewallsystems zurInternet-Intranet Kopplung

Verfasser: Klaus Bauer

Studiengang: Informatik/Technik

Matrikelnummer: 06596393

Studiengruppe: 07IF8T

Erstprüfer: Frau Prof. Dr. U. Kirch-Prinz

Zweitprüfer: Herr Prof. Dr. W. Marke

Ort: CameloT - Frank Bartels

Pfälzer-Wald-Str. 70

D-81539 München

Betreuer: Herr Frank Bartels

Zeitraum: 29.04.99 bis 29.09.99

Westerham, den 29. September 1999

Inhalt●

dip

http://www.klaus.camelot.de/dip/ (1 of 5) [01.11.2000 17:15:46]

Abbildungsverzeichnis●

Tabellenverzeichnis●

Einführung

Einleitung

Ziele dieser Arbeit■

Warum Sicherheit?■

Wer sind die Angreifer?■

Auswirkungen von Systemeinbrüchen■

❍

●

Bedrohungen durch das Internet

Probleme und Gefahren durch das Internet für das eigene LAN

Definitionen und Begriffe■

Softwarefehler■

Manipulierter Programmcode - trojanische Pferde■

Schlecht konfigurierte und administrierte Systeme■

Schlecht gewählte Passwörter■

Social Engineering■

Viren

Viren durch Disketten■

Komplettpakete - vorinstallierte Software■

Viren aus dem Internet■

■

Schwachstellen des IP-Protokolls - Internet Protokoll RFC 791■

Schwachstellen des ICMP-Protokolls - Internet Control Message Protokoll RFC792

■

Schwachstellen im TCP-Protokoll - Transmission Control Protokoll RFC 793■

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768■

ARP Address Resolution Protokoll RFC 826■

Routing

Interior Routing Protokolle■

Exterior Routing Protokolle■

■

RPC-Dienste - Remote Procedure Call

NFS - Network File System RFC 1094, 1813■

NIS - Network Information Service■

■

Schwachstellen der Internetdienste

EMail■

Telnet RFC 854■

Dateitransfer■

■

❍

●

dip


DNS - Domain Name Service RFC 1034,1035■

WWW - World Wide Web■

SNMP-Protokoll - Simple Network Management Protokoll RFC 1157■

NNTP - Network News Transfer Protokoll RFC 977■

NTP - Network Time Protokoll RFC 1305■

IRC - Internet Relay Chat RFC 1459■

UUCP - Unix to Unix Copy■

X-Windows■

BSD-UNIX ,,r``-Komandos■

LPD - Printerdaemon■

Fingerd - fingerdaemon RFC 1196■

Schutzmaßnahmen

Maßnahmen zum Schutz vor den Gefahren durch das Internet

Erstellung eines Netzwerksicherheitskonzeptes

Anforderungen■

Zielsetzung■

Risikoanalyse■

Formulierung von Sicherheitsrichtlinien■

Erstellung eins Implementationsplans■

Einführung eines Sicherheitsprozesses■

■

Firewalls

Funktionsprinzip■


Arten von Firewalls■

Firewall-Architekturen■

IP-Protokoll■

ICMP-Protokoll■

TCP-Protokoll■

UDP-Protokoll■

ARP-Protokoll■

Routing Protokolle■

RPC-Dienste■

EMail■

TELNET■

Dateitransfer■

■

❍

●

dip


DNS■

World Wide Web (WWW)■

Archie■

SNMP■

NNTP■

NTP■

IRC■

UUCP■

X-Windows■

Die ,,r``-Kommandos■

LPD■

Fingerd■

Authentisierung

Einmal-Paßworte■

■

Kryptographie■

Intrusion Detection Systeme (IDS)■

Angriffssimulatoren■

Schutz vor Viren■

Schutz vor Angriffen von innen■

Trends und zukünftige Entwicklungen■

Praxisteil: Entwicklung und Realisation eines Firewallkonzeptes zur Anbindung einesLAN an das Internet

Sicherheitskonzept

Zielsetzung■

Risikoanalyse■

Erstellung der Sicherheitsrichtlinien(Sicherheitspolitik)

■

■

Auswahl des Betriebssystems■

Auswahl der Hardware

Bastion Host■

Router■

■

Firewall-Architektur■

Konfiguration des Routers■

Konfiguration des Bastion-Host

Installation des Betriebssystems■

Konfiguration des Betriebsystems■

■

❍

dip


Schluß

Ausblick■

Schlußbemerkung■

❍

Literatur●

Index●

Über dieses Dokument ...●

Klaus Bauer 1999-10-20

dip


Nächste Seite: Abbildungsverzeichnis Aufwärts: dip Vorherige Seite: dip Index

InhaltInhalt●

Abbildungsverzeichnis●

Tabellenverzeichnis●

Einführung

Einleitung

Ziele dieser Arbeit■

Warum Sicherheit?■

Wer sind die Angreifer?■

Auswirkungen von Systemeinbrüchen■

❍

●




Softwarefehler■

Manipulierter Programmcode - trojanische Pferde■

Schlecht konfigurierte und administrierte Systeme■

Schlecht gewählte Passwörter■

Social Engineering■

Viren




■

Schwachstellen des IP-Protokolls - Internet Protokoll RFC 791■

Schwachstellen des ICMP-Protokolls - Internet Control Message Protokoll RFC792

■

Schwachstellen im TCP-Protokoll - Transmission Control Protokoll RFC 793■

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768■

ARP Address Resolution Protokoll RFC 826■

Routing

Interior Routing Protokolle■

■

❍

●

Inhalt

http://www.klaus.camelot.de/dip/node1.html (1 of 4) [01.11.2000 17:15:49]

Exterior Routing Protokolle■




■


EMail■

Telnet RFC 854■

Dateitransfer■


WWW - World Wide Web■





■

UUCP - Unix to Unix Copy■

X-Windows■

BSD-UNIX ,,r``-Komandos■

LPD - Printerdaemon■

Fingerd - fingerdaemon RFC 1196■

Schutzmaßnahmen



Anforderungen■

Zielsetzung■

Risikoanalyse■




■

Firewalls

Funktionsprinzip■



Firewall-Architekturen■

IP-Protokoll■

ICMP-Protokoll■

■

❍

●

Inhalt


TCP-Protokoll■

UDP-Protokoll■

ARP-Protokoll■

Routing Protokolle■

RPC-Dienste■

EMail■

TELNET■

Dateitransfer■

DNS■

World Wide Web (WWW)■

Archie■

SNMP■

NNTP■

NTP■

IRC■

UUCP■

X-Windows■


LPD■

Fingerd■

Authentisierung

Einmal-Paßworte■

■

Kryptographie■

Intrusion Detection Systeme (IDS)■

Angriffssimulatoren■

Schutz vor Viren■

Schutz vor Angriffen von innen■

Trends und zukünftige Entwicklungen■

Praxisteil: Entwicklung und Realisation eines Firewallkonzeptes zur Anbindung einesLAN an das Internet

Sicherheitskonzept

Zielsetzung■

Risikoanalyse■

Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik)■

■

Auswahl des Betriebssystems■

Auswahl der Hardware■

❍

Inhalt


Bastion Host■

Router■

Firewall-Architektur■

Konfiguration des Routers■


Installation des Betriebssystems■

Konfiguration des Betriebsystems■

■

Schluß

Ausblick■

Schlußbemerkung■

❍

Literatur●

Index●


Inhalt


Nächste Seite: Tabellenverzeichnis Aufwärts: dip Vorherige Seite: Inhalt Inhalt Index

AbbildungsverzeichnisAnzahl Hosts im Internet, Quelle [RIPE]1.

Anzahl sicherheitsrelevanter Vorfälle, Quelle: [CERT-1]2.

Wahrnung von AOL an seine User, Quelle: [CT-3/99]3.

Der TCP/IP-Protokollstack4.

Ein IP-Datagramm5.

IP-Adreßformate6.

ICMP-Nachrichtenformat7.

Aufbau des TCP-Headers8.

TCP-Sitzung, Quelle: [FSI-96]9.

UDP-Header10.

Active-mode FTP Verbindung, Quelle: [BIF-96]11.

Passive-mode FTP Verbindung, Quelle: [BIF-96]12.

FTP-PORT-Angriff13.

Struktur einer DNS-Anfrage, Quelle: [Black-95]14.

Rechner mit Internetanschluß, Quelle: www.nw.com/zone/hosts.gif15.

Auswirkungen von .rhosts-Einträgen16.

Sicherheitsprozß17.

Eine Firewall trennt das LAN vom Internet18.

Prinzip von Proxy-Verbindungen, Quelle: [BIF-96] S. 6219.

Dual-Homed Host Architektur, Quelle [BIF-96] S. 6420.

Screened Host Architektur, Quelle [BIF-96] S. 6521.

Screened Subnet Architektur (mit zwei Routern), Quelle: [BIF-96], S. 6822.

Hauptkonfigurationsmenu des BinGO-ISDN Routers23.

Das WAN-Partner Konfigurationsmenu24.

WAN-Partner PPP-Konfigurationsmenu25.

NAT-Konfiguration26.

Konfiguration von IP Access Filtern27.

Automatische Proxykonfiguration beim Netscape Communicator28.

Abbildungsverzeichnis



Abbildungsverzeichnis


Nächste Seite: Einführung Aufwärts: dip Vorherige Seite: Abbildungsverzeichnis Inhalt Index

TabellenverzeichnisMotivationen der Angreifer1.

Bedeutung des Code-Feldes bei Destination unreachable2.

Bedeutung des Code-Feldes bei Redirect3.

Parameter zur Identifikation einer TCP-Verbindung4.

Portmapper-Tabelle, Quelle: [FSI-96],S. 415.

Inhalt eines DNS-Resource-Records6.

Die r-Befehle7.

Umgang mit ICMP-Meldungen, Quelle [BIF-96] S. 3058.

RIP-Filterregeln, Quelle: [BIF-96] S. 3009.

SMTP-Filterregeln, Quelle: [BIF-96] S. 21510.

POP-Filterregeln, Quelle: [BIF-96] S. 21911.

Telnet-Filterregeln, Quelle: [BIF-96] S. 23912.

TFTP-Filterregeln, Quelle: [BIF-96] S. 23513.

FTP-Filterregeln, Quelle: [BIF-96] S. 22614.

DNS-Filterregeln, Quelle: [BIF-96] S. 28115.

Gopher-Filterregeln, Quelle: [BIF-96] S. 26116.

WAIS-Filterregeln, Quelle: [BIF-96] S. 26117.

Archie-Filterregeln, Quelle: [BIF-96] S. 26418.

Http-Filterregeln, Quelle: [BIF-96] S. 25319.

Nntp-Filterregeln, Quelle: [BIF-96] S. 24620.

Ntp-Filterregeln, Quelle: [BIF-96] S. 30721.

UUCP-Filterregeln, Quelle: [BIF-96] S. 23722.

X11-Filterregeln, Quelle: [BIF-96] S. 31623.

Fingerd-Filterregeln, Quelle: [BIF-96] S. 26824.

Challenge Response-Kombinationen25.


Tabellenverzeichnis

http://www.klaus.camelot.de/dip/node3.html [01.11.2000 17:15:53]

Nächste Seite: Einleitung Aufwärts: dip Vorherige Seite: Tabellenverzeichnis Inhalt Index

Einführung

UnterabschnitteEinleitung

Ziele dieser Arbeit❍

Warum Sicherheit?❍

Wer sind die Angreifer?❍

Auswirkungen von Systemeinbrüchen❍

●


Einführung


Nächste Seite: Ziele dieser Arbeit Aufwärts: Einführung Vorherige Seite: Einführung Inhalt Index

EinleitungIch arbeite seit Februar '97 bei dem Internetprovider CameloT in Germering. CameloT bietetInternetanschluß für Privat- und Firmenkunden an. Häufig bekommen wir Anfragen vonUnternehmen, die ihr besthendes LAN an das Internet anbinden möchten.

Durch die Anbindung eines Firmennetzwerkes an das Internet ergeben sich viele Vorteile aber auchGefahren für die Sicherheit des Firmen-LAN. Aus diesem Grund haben wir uns dazu entschlossen, einProdukt zu entwickeln das einen sicheren und kostengünstigen Anschluß von kleinen bis mittlerenFirmennetzwerken an das weltweite Datennetz ermöglicht. Das Produkt ist ein PC mit eingebautemISDN-Router, der die Nutzung des Internet von jedem Arbeitsplatzrechner im LAN ermöglicht. ZurEntwicklung des Systems wurden alle gängigen Internetdienste und Protokolle auf ihreSchwachstellen in Bezug auf Sicherheit untersucht. Im nächsten Schritt wurden für die betrachtetenDienste und Protokolle Sicherheitsmaßnahmen erarbeitet, auf deren Grundlage ein Firewallkonzeptentwickelt wurde.In der Grundkonfiguration werden durch das System die Dienste EMail, WWW und SSH angeboten.Weitere Dienste, z.B. Printserver, DHCP-Server, Fileserver usw. können bei Bedarf zusätzlichbereitgestellt werden.

Diese Arbeit behandelt den Sicherheitsaspekt des Produktes.

UnterabschnitteZiele dieser Arbeit●

Warum Sicherheit?●

Wer sind die Angreifer?●

Auswirkungen von Systemeinbrüchen●

Nächste Seite: Ziele dieser Arbeit Aufwärts: Einführung Vorherige Seite: Einführung Inhalt Index Klaus Bauer 1999-10-20

Einleitung


Nächste Seite: Über dieses Dokument ... Aufwärts: dip Vorherige Seite: Literatur Inhalt

IndexAngriffe von innen

Schutz vor Angriffen von

AngriffssimulatorenAngriffssimulatoren

ARPARP Address Resolution Protokoll | ARP-Protokoll

AuthentisierungAuthentisierung

Einmal-PaßworteEinmal-Paßworte

Challenge-ResponseEinmal-Paßworte

ChipkartenEinmal-Paßworte

S/KeyEinmal-Paßworte

Smart CardEinmal-Paßworte

starkeAuthentisierung

Basion HostAufbau

Aufbau eines Bastion Host

Bastion HostKonfiguration


BetriebssystemFreeBSD

Auswahl des Betriebssystems

LinuxAuswahl des Betriebssystems

Index


BSD-r-KommandosDie ,,r``-Kommandos

GefahrenBSD-UNIX ,,r``-Komandos

ClientDefinitionen und Begriffe

DateitransferDateitransfer | Dateitransfer

FSPFSP - File Service | FSP

FTPFTP

GefahrenFTP - File Transfer

TFTPTFTP

GefahrenTFTP - Trivial File

Denial-of-ServiceDefinitionen und Begriffe

DNSDNS

KonfigurationDNS | Konfiguration des DNS-Systems

SchwachstellenDNS - Domain Name

EMailEMail

GefahrenEMail

ausführbarer CodeMIME-Extensions - Multipurpose Internet

MIMEMIME-Extensions - Multipurpose Internet

POPPOP - Postoffice Protokoll

SMTP

Index


SMTP-Protokoll - Simple Mail

KonfigurationSMTP-Protokoll

MIMEMIME-Extensions

POPPOP-Protokoll

qmailKonfiguration

Konfiguration des Mail-Systems

SMTPSMTP-Protokoll

FingerFingerd

GefahrenFingerd - fingerdaemon RFC

FirewallFirewalls

Access routersee Exterior Router

ArchitekturenFirewall-Architekturen

Dual-HomedDual-Homed Host Architektur

Screened HostScreened Host Architektur

Screened SubnetScreened Subnet Architektur

VariantenMischformen

ArtenArten von Firewalls

ip-aliasingArten von Firewalls

ip-masquaradingArten von Firewalls

NAT

Index


Arten von Firewalls

PaketfilterArten von Firewalls

ProxyArten von Firewalls

Bastion HostDefinitionen und Begriffe

Choke routersee Interior Router

DMZFunktionsprinzip

Dual-homed HostDefinitionen und Begriffe

Exterior RouterDefinitionen und Begriffe

FunktionsprinzipFunktionsprinzip

Grenznetzsee Perimeter network

Interior RouterDefinitionen und Begriffe

Packet FilteringDefinitionen und Begriffe

Perimeter networkDefinitionen und Begriffe

Proxy ServerDefinitionen und Begriffe

Screened HostFirewall-Architektur

Screened SubnetFirewall-Architektur

ScreensFunktionsprinzip

GatewayDefinitionen und Begriffe

HackerDefinitionen und Begriffe

Index


HostDefinitionen und Begriffe

ICMPAngriffe

Schwachstellen des ICMP-Protokolls -

SchutzmaßnahmenICMP-Protokoll

SchwachstellenSchwachstellen des ICMP-Protokolls -

IDSIntrusion Detection Systeme (IDS)

Internet ProtokollAngriffsmethoden

Schwachstellen des IP-Protokolls -

AufgabenSchwachstellen des IP-Protokolls -

SchutzmaßnahmenIP-Protokoll

SchwachstellenSchwachstellen des IP-Protokolls -

TCP/IP-ProtokollstackSchwachstellen des IP-Protokolls -

Version 4Schwachstellen des IP-Protokolls -

Internet WormSoftwarefehler

IP-SpoofingDefinitionen und Begriffe | Schwachstellen des IP-Protokolls -

IRCIRC

GefahrenIRC - Internet Relay

KryptographieKryptographie

KerberosKryptographie

LPD

Index


LPD

GefahrenLPD - Printerdaemon

Mailsee EMail

NNTPNNTP

GefahrenNNTP - Network News

NTPNTP

GefahrenNTP - Network Time

Packet-SniffingDefinitionen und Begriffe

Paketfilterdynamische

Arten von Firewalls

statischeArten von Firewalls

Playback-AttackDefinitionen und Begriffe

ProxyApplikation-Proxy

Arten von Firewalls

automatische KonfigurationKonfiguration des HTTP-Proxy

Ciruit-ProxyArten von Firewalls

squidKonfiguration des HTTP-Proxy

RFCSchwachstellen des IP-Protokolls -

Risikoanalysedetaillierte

Risikoanalyse

Grundschutzansatz

Index


Risikoanalyse

RouterDefinitionen und Begriffe

BinGO-PC

Router

KonfigurationKonfiguration des Routers

RoutingRouting | Routing Protokolle

BGPBGP Border-Gateway-Protokoll RFC 1771 | BGP-Protokoll

AngriffeBGP Border-Gateway-Protokoll RFC 1771

EGPEGP - Exterior Gateway

OSFPOSFP-Protokoll

OSPFOSPF Open Shortest Path

AngriffeOSPF Open Shortest Path

RIPRIP Version 2 Routing-Information-Protokoll | RIP-Protokoll

AngriffeRIP Version 2 Routing-Information-Protokoll

RPCRPC-Dienste

NFSNFS

NISNIS

SchwachstellenRPC-Dienste - Remote Procedure

NFSNFS - Network File

NIS

Index


NIS - Network Information

Secure ShellKonfiguration

Konfiguration von SSH

ServerDefinitionen und Begriffe

SicherheitskonzeptErstellung eines Netzwerksicherheitskonzeptes

CIAAnforderungen

ImplementationsplanErstellung eins Implementationsplans

RisikoanalyseRisikoanalyse

SicherheisprozeßEinführung eines Sicherheitsprozesses

SicherheitsrichtlinienFormulierung von Sicherheitsrichtlinien

ZielsetzungZielsetzung

SNMPSNMP

GefahrenSNMP-Protokoll - Simple Network

Social EngineeringSocial Engineering

TCPAngriffe

Schwachstellen im TCP-Protokoll -

SchutzmaßnahmenTCP-Protokoll

SchwachstellenSchwachstellen im TCP-Protokoll -

TelnetTELNET

GefahrenTelnet RFC 854

Index


TripwireKonfiguration

Konfiguration von Tripwire

TrojanerManipulierter Programmcode - trojanische

UDPAngriffe

Schwachstellen im UDP-Protokoll -

SchutzmaßnahmenUDP-Protokoll

SchwachstellenSchwachstellen im UDP-Protokoll -

UUCPUUCP

GefahrenUUCP - Unix to

VirenSchutz

Schutz vor Viren

VirusViren

Webserverapache

KonfigurationKonfiguration des Webserver

WWWWWW - World Wide | World Wide Web (WWW)

ActiveXActiveX

GefahrenHTTP - Hyper Text | ActiveX

ArchieArchie

GefahrenArchie

CGIGefahren

Index


HTTP - Hyper Text

CookiesCookies

GefahrenCookies

DownloadGefahren

HTTP - Hyper Text

fehlerhafte SoftwareHTTP - Hyper Text

GopherGopher

GefahrenGOPHER RFC 1436

HTTPHTTP

GefahrenHTTP - Hyper Text

JavaJava

GefahrenHTTP - Hyper Text | Java

MIMEGefahren

HTTP - Hyper Text

S-HTTPS-HTTP

GefahrenS-HTTP - Secure Hyper

WaisWAIS

GefahrenWAIS - Wide Area

X-WindowsX-Windows

GefahrenX-Windows

Index



Index


Nächste Seite: Warum Sicherheit? Aufwärts: Einleitung Vorherige Seite: Einleitung Inhalt Index

Ziele dieser ArbeitNach dieser Einführung werde ich die Probleme und Gefahren, die eine Internetanbindung mit sichbringt, aufzeigen und erläutern. Anschließend werde ich Maßnahmen zum Schutz des eigenen LANvor diesen Bedrohungen vorstellen. Im Besonderen werde ich dabei auf Firewalls eingehen. Dernächste Abschnitt zeigt, wie man die Erkenntnisse aus den vorhergehenden Teilen in der Praxisanwendet, um ein LAN sicher an das Internet anschließen zu können.


Ziele dieser Arbeit


Nächste Seite: Wer sind die Angreifer? Aufwärts: Einleitung Vorherige Seite: Ziele dieser Arbeit Inhalt Index

Warum Sicherheit?Die Anzahl der Hosts mit Internetanschluß ist in den letzten Jahren stark angestiegen, wieAbbildung 1.1 zeigt.

Abbildung 1.1: Anzahl Hosts im Internet, Quelle [RIPE]

Damit nimmt natürlich auch die Zahl der Internetbenutzer zu und damit auch die Zahl der potentiellenAngreifer. Dies belegt Abbildung 1.2 .

Warum Sicherheit?


Abbildung 1.2: Anzahl sicherheitsrelevanter Vorfälle, Quelle: [CERT-1]

Jedes Unternehmen, das ein EDV-System einsetzt, ist in der Regel darauf angewiesen, daß diesesreibungslos funktioniert. Ein Ausfall des Systems, verursacht durch Sicherheitsprobleme bei derInternetanbindung, bedeutet meistens einen hohen finanzellen Schaden. Deshalb ist es wichtig, sichmit dem Thema ,,Sicherheit im Internet`` auseinanderzusetzen.


Warum Sicherheit?


Nächste Seite: Auswirkungen von Systemeinbrüchen Aufwärts: Einleitung Vorherige Seite: WarumSicherheit? Inhalt Index

Wer sind die Angreifer?Das Spektrum der möglichen Angreifer umfaßt im wesentlichen folgende Personengruppen:

Firmenangehörige●

Personen aus dem Universitäts- und Schulumfeld●

Personen aus dem Konkurrenz/Wettbewerbs-Umfeld●

Hacker aus der Computer-Untergrundszene●

professionelle Hacker/Industriespione●

Bemerkenswert ist die Tatsache, daß die meisten Angriffe nicht von außen erfolgen, sondern durchdie eigenen Mitarbeiter (oder ehemalige) durchgeführt oder zumindest ermöglicht werden. Russellund Gangemi schreiben in [RuG91], daß schätzungsweise 80% aller Angriffe von Mitarbeiterndurchgeführt werden.

Die verschiedenen Motivationen der Angreifer sind in Tabelle 1.1 aufgeführt.

Tabelle 1.1: Motivationen der Angreifer

Personengruppe Motivation

Firmenangehörigefinanzielle Interessen,persönliche Gründe (z.B.Rache)

Personen aus dem Universitäts- und SchulumfeldSelbstbestätigung, Neugier,Spieltrieb

Personen aus dem Konkurrenz/Wettbewerbs-Umfelderlangen einesWettbewerbsvorteils,finanzielle Interessen

Hacker aus der Computer-Untergrundszene

Erweiterung der persönlichenKenntnisse, sportlicherWettkampf mit anderenHackern, politische Gründe

professionelle Hacker/Industriespione finanzielle Interessen

Wer sind die Angreifer?


Nächste Seite: Auswirkungen von Systemeinbrüchen Aufwärts: Einleitung Vorherige Seite: WarumSicherheit? Inhalt Index Klaus Bauer 1999-10-20

Wer sind die Angreifer?


Nächste Seite: Bedrohungen durch das Internet Aufwärts: Einleitung Vorherige Seite: Wer sind dieAngreifer? Inhalt Index

Auswirkungen von SystemeinbrüchenNach einem erfolgreichen Angriff auf ein Computersystem ist mit folgenden Konsequenzen zurechnen:

ImageverlustEin Eindringling kann weitreichenden Schaden anrichten indem er im Internet unter derIdentität eines anderen Systemes oder Organisation auftritt. Ein Angreifer könnte z.B. weitereAngriffe durchführen oder bösartige EMails versenden.

●

VertraulichkeitsverlustVertrauliche Daten könnten in falsche Hände gelangen, z.B. in die der Konkurrenz.

●

Datenverlust-manipulationManche Angreifer machen es sich zum Ziel, Daten zu löschen oder zu manipulieren.

●

Eingeschränkte VerfügbarkeitDer Zugriff auf Daten kann verhindert werden oder nur noch eingeschränkt möglich sein.

●

Zeit- und GeldverlustDurch einen erfolgreichen Angriff einsteht auf jeden Fall für das betroffene Unternehmen einfinanzieller Verlust. Die Systemadministratoren müssen nach Schäden suchen und diese wiederbeheben. Das kostet i.d.R. sehr viel Zeit und damit auch Geld.

●


Auswirkungen von Systemeinbrüchen


Nächste Seite: Probleme und Gefahren durch Aufwärts: dip Vorherige Seite: Auswirkungen vonSystemeinbrüchen Inhalt Index


UnterabschnitteProbleme und Gefahren durch das Internet für das eigene LAN

Definitionen und Begriffe❍

Softwarefehler❍

Manipulierter Programmcode - trojanische Pferde❍

Schlecht konfigurierte und administrierte Systeme❍

Schlecht gewählte Passwörter❍

Social Engineering❍

Viren




❍

Schwachstellen des IP-Protokolls - Internet Protokoll RFC 791❍

Schwachstellen des ICMP-Protokolls - Internet Control Message Protokoll RFC 792❍

Schwachstellen im TCP-Protokoll - Transmission Control Protokoll RFC 793❍

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768❍

ARP Address Resolution Protokoll RFC 826❍

Routing

Interior Routing Protokolle

RIP Version 2 Routing-Information-Protokoll RFC 1723■

OSPF Open Shortest Path First RFC 2178■

■

Exterior Routing Protokolle

EGP - Exterior Gateway Protokoll■

BGP Border-Gateway-Protokoll RFC 1771■

■

❍




❍

Schwachstellen der Internetdienste❍

●



EMail

SMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821■

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521■

POP - Postoffice Protokoll RFC 1725■

■

Telnet RFC 854■

Dateitransfer

TFTP - Trivial File Transfer Protokoll RFC 1350■

FTP - File Transfer Protokoll RFC 959■

FSP - File Service Protokoll■

■


WWW - World Wide Web

GOPHER RFC 1436■

WAIS - Wide Area Information Servers■

Archie■

HTTP - Hyper Text Transfer Protokoll RFC 2616■

S-HTTP - Secure Hyper Text Transfer Protokoll■

Cookies■

ActiveX■

Java■

■





UUCP - Unix to Unix Copy❍

X-Windows❍

BSD-UNIX ,,r``-Komandos❍

LPD - Printerdaemon❍

Fingerd - fingerdaemon RFC 1196❍




Nächste Seite: Definitionen und Begriffe Aufwärts: Bedrohungen durch das Internet VorherigeSeite: Bedrohungen durch das Internet Inhalt Index

Probleme und Gefahren durch dasInternet für das eigene LANDas Internet ist ein weltweiter Zusammenschluß von Computernetzwerken, die alle das TCP/IP(Transmission Control Protocol/Internet Protocol) als gemeinsames Protokoll zur Kommunikationnutzen. Der Aufbau des Internets wurde nicht auf Sicherheit ausgelegt, sondern vielmehr darauf, daßInformationen zwischen den verschieden Teilnetzwerken zuverlässig ausgetauscht werden konnten.Daraus ergeben sich vielfältige Gefahren für das eigene Netzwerk.

UnterabschnitteDefinitionen und Begriffe●

Softwarefehler●

Manipulierter Programmcode - trojanische Pferde●

Schlecht konfigurierte und administrierte Systeme●

Schlecht gewählte Passwörter●

Social Engineering●

Viren

Viren durch Disketten❍

Komplettpakete - vorinstallierte Software❍

Viren aus dem Internet❍

●

Schwachstellen des IP-Protokolls - Internet Protokoll RFC 791●

Schwachstellen des ICMP-Protokolls - Internet Control Message Protokoll RFC 792●

Schwachstellen im TCP-Protokoll - Transmission Control Protokoll RFC 793●

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768●

ARP Address Resolution Protokoll RFC 826●

Routing


RIP Version 2 Routing-Information-Protokoll RFC 1723■

OSPF Open Shortest Path First RFC 2178■

❍


EGP - Exterior Gateway Protokoll■

❍

●



BGP Border-Gateway-Protokoll RFC 1771■


NFS - Network File System RFC 1094, 1813❍

NIS - Network Information Service❍

●


EMail

SMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821■

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521■

POP - Postoffice Protokoll RFC 1725■

❍

Telnet RFC 854❍

Dateitransfer

TFTP - Trivial File Transfer Protokoll RFC 1350■

FTP - File Transfer Protokoll RFC 959■

FSP - File Service Protokoll■

❍

DNS - Domain Name Service RFC 1034,1035❍


GOPHER RFC 1436■

WAIS - Wide Area Information Servers■

Archie■

HTTP - Hyper Text Transfer Protokoll RFC 2616■

S-HTTP - Secure Hyper Text Transfer Protokoll■

Cookies■

ActiveX■

Java■

❍

SNMP-Protokoll - Simple Network Management Protokoll RFC 1157❍

NNTP - Network News Transfer Protokoll RFC 977❍

NTP - Network Time Protokoll RFC 1305❍

IRC - Internet Relay Chat RFC 1459❍

●

UUCP - Unix to Unix Copy●

X-Windows●

BSD-UNIX ,,r``-Komandos●

LPD - Printerdaemon●

Fingerd - fingerdaemon RFC 1196●




Nächste Seite: Softwarefehler Aufwärts: Probleme und Gefahren durch Vorherige Seite: Problemeund Gefahren durch Inhalt Index

Definitionen und BegriffeBevor auf die einzelnen Gefahren eingegangen werden kann, müssen noch folgende häufigvorkommende Begriffe und Definitionen beschrieben werden:

GatewayUnter einem Gateway versteht man die Hard- und Software, um verschiedene Netzemiteinander zu verbinden oder an andere Netze durch Protokollumsetzung anzuschließen. EinGateway hat die Aufgabe, Nachrichten von einem Rechnernetz in ein anderes zu übermitteln,wofür vor allem die Übersetzung der Kommunikationsprotokolle notwendig ist; es kann alsoauch als eine Art Protokollkonverter betrachtet werden. Ein Gateway wird durch einen spezielldafür eingesetzten Rechner realisiert. Dies bezieht sich auch auf die Verknüpfung vonnicht-normkonformen Netzen wie ISDN , SNA , DECnet usw.Quelle: [LdD-V.7.0]

●

RouterRouter verbinden Subnetze auf der Vermittlungsschicht des OSI-Referenzmodells . Manunterscheidet zwischen Einzelprotokoll-Routern, Multiprotokoll-Routern und hybridenRoutern. Einzelprotokoll-Router (Single Protocol Router): Der Einzelprotokoll-Routerverbindet LAN -Subnetze auf der Basis eines einzelnen LAN-Protokolls. Die Verbindung kanneine LAN-LAN-Verbindung oder eine LAN-WAN -Verbindung, meistens über X.25 , teilweiseauch X.21 sein. Das klassische Beispiel für einen Einzelprotokoll-Router ist einX.25-Vermittlungsknoten, da ja das Routing seinen Ursprung vermutlich mehr imWeitverkehrsbereich als im LAN-Bereich hat. Multiprotokoll-Router sind in der Lage, mehrereProtokolle parallel zu handhaben. Da die Schicht 3 für alle aktuell etablierten Industriestandardsunterschiedlich ist, ist die Router-Kopplung hinsichtlich der höheren Schichtenprotokollabhängig, d.h., ein Router muß alle Protokolle verstehen, die er bearbeiten soll. Überverschiedene Protokoll-Stacks (Implementierung mehrerer Schicht-3-Protokolle), die in einemGerät implementiert sind, werden verschiedene logische Netzwerke jeweils untereinanderverbunden.Quelle: [LdD-V.7.0]

●

HostAls Host wird in dieser Arbeit ein Computer mit Netzwerkanschluß bezeichnet.

●

ClientDer Begriff Client wird in dieser Arbeit entweder für Programme verwendet, die mit einemzugehörigen Server-Programm kommunizieren oder aber für Arbeitsplatzrechner, die mitServer-Rechnern kommunizieren.

●

ServerDer Begriff Server wird für Programme, die einen Dienst anbieten (z.B. Mailserver), oder zurBezeichnung von Rechnern, die anderen Computern Dienste anbieten, verwendet.

●

Definitionen und Begriffe


IP-SpoofingUnter IP-Spoofing versteht man das Fälschen von IP-Pakten.

●

Denial-of-ServiceMit denial-of-service meint man das Lahmlegen eines Dienstes, z.B. DNS durch gezielteAngriffe, so daß der betroffene Dienst keine Anfragen mehr beantworten kann.

●

Packet-SniffingPacket-sniffing bedeutet, daß der Datenverkehr abgehört wird.

●

Playback-AttackBei diesem Angriff werden zuvor erspähte Datenpakete zu einem späteren Zeitpunkt nochmalversendet.

●

HackerDer Begriff Hacker wird hier für Personen verwendet, die sich unerlaubt Zugang zuComputernetzwerken verschaffen.

●

Nächste Seite: Softwarefehler Aufwärts: Probleme und Gefahren durch Vorherige Seite: Problemeund Gefahren durch Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Manipulierter Programmcode - trojanische Aufwärts: Probleme und Gefahren durchVorherige Seite: Definitionen und Begriffe Inhalt Index

SoftwarefehlerDas Schreiben korrekter Software scheint für die Informatik ein unlösbares Problemdarzustellen.[FSI-96]

Fehler in Programmen haben in der Vergangenheit häufig zu Einbrüchen in Computersysteme geführtoder zumindest einen Ausfall einzelner Rechner bewirkt. Eine der wohl spektakulärsten undbekanntesten Attacken war der Internet Worm , der in wenigen Stunden mehrere tausend Systemelahmlegte. Der Internet Worm nutzte einen Fehler in der ANSI C Library Funktion gets() aus. Fürweitere Informationen zum Internet Worm siehe [worm]. Ein anderes sehr bekanntes Beispiel fürschwerwiegende Sicherheitslücken aufgrund von Fehlern in der Implementation ist das in derUNIX-Welt weitverbreitete Mailprogramm sendmail.Aber auch alle anderen Betriebssysteme enthalten fehlerhafte Software. Windows95 konnte z.B. miteinem Programm Namens WinNuke zum Absturz gebracht werden. Dabei wurde ein Fehler in derImplementierung der TCP/IP-Software ausgenutzt.Ein aktuelles Beispiel: Mit der Version 5 des InternetExplorers von Microsoft ist es für den Betreibereiner Website möglich, eine Datei auf dem Rechner eines Besuchers der Site auszuspähen, derenName allerdings bekannt sein muß.[CT-8/99]

Nächste Seite: Manipulierter Programmcode - trojanische Aufwärts: Probleme und Gefahren durchVorherige Seite: Definitionen und Begriffe Inhalt Index Klaus Bauer 1999-10-20

Softwarefehler


Nächste Seite: Schlecht konfigurierte und administrierte Aufwärts: Probleme und Gefahren durchVorherige Seite: Softwarefehler Inhalt Index

Manipulierter Programmcode -trojanische PferdeEin ,,Trojanisches Pferd`` ist ein offensichtlich nützliches Programm, das versteckte Funktionenenthält, die Sicherheitsbedrohungen für das System darstellen. Ein ,,Trojanisches Pferd`` führtAktionen aus, die der Anwender nicht beabsichtigt hat.[ca-99.02]

Oft verwenden Angreifer diese Methode, um sich Zutritt zu einem System zu verschaffen. Diemanipulierten Programme werden dann auf dem Zielsystem hinterlegt oder im Internet zumDownload angeboten.Das CERT Coordination Center schreibt in seinem Bericht [ca-99.02], daß die Zahl der Angriffedurch Trojanische Pferde Anfang 1999 angestiegen sei.

Startet ein Anwender ein derartig manipuliertes Programm, beginnt es seine versteckten Funktionenauszuführen. Zu den Aktionen, die von Trojanern ausgelöst werden, zählen:

Löschen von Files●

Übermitteln von Files an den Autor des Trojaners●

Verändern von Files●

Installieren von Programmen,Viren oder weiteren Trojanern●

Aufzeichnen von Passworteingaben●

Durchführen von weiteren Sicherheitsangriffen, z.B., um unter Unix Root-Rechte zu erlangen●


Manipulierter Programmcode - trojanische Pferde


Nächste Seite: Schlecht gewählte Passwörter Aufwärts: Probleme und Gefahren durch VorherigeSeite: Manipulierter Programmcode - trojanische Inhalt Index

Schlecht konfigurierte undadministrierte SystemeBei der Installation und Konfiguration von Betriebssystemen werden häufig die Standardeinstellungenverwendet. Dadurch macht man es Angreifern sehr leicht, in ein solches System einzubrechen, da dieVoreinstellungen oft sehr viele bekannte Sicherheitslücken beinhalten.

Bei einer Standardinstallation werden häufig Gastzugänge angelegt, bei manchen Systemen sogarohne Passwort. Aber selbst wenn ein Passwort vergeben wurde, kann man meist in derDokumentation zu dem System nachlesen , welche Accounts mit welchen Passwörtern standardmäßigangelegt werden. Oft werden per Voreinstellung alle möglichen Internetdienste mitinstalliert, wie z.B.tftp (ein sehr gefährlicher Dienst, siehe Abschnitt 2.15.3.1). Eine weitere Gefahrenquelle ist dieInstallation veralteter Versionen von Programmen mit bekannten Sicherheitslücken.Durch falsche Konfiguration von Softwarepaketen (ftp-server, web-server) können ebenfallsSicherheitslöcher entstehen. Fehlerhafte oder schlampige Systemadministration kann die Sicherheiteines Systems ebenfalls erheblich beeinträchtigen.


Schlecht konfigurierte und administrierte Systeme


Nächste Seite: Social Engineering Aufwärts: Probleme und Gefahren durch Vorherige Seite:Schlecht konfigurierte und administrierte Inhalt Index

Schlecht gewählte PasswörterDie besten Sicherheitstvorkehrungen helfen nichts, wenn es einem Angreifer gelingt, in den Besitz derPasswortdatei eines Systems zu gelangen. Der Grund dafür ist, daß in einer solchen Datei mit nahezu100%iger Sicherheit sehr leicht zu entschlüsselnde Passwörter enthalten sind. Im Internet gibt esgenügend Programme (z.B. crack), die man dafür verwenden kann.

Wenn ein Angreifer ersteinmal Zugang zu einem System hat, ist es nur noch eine Frage der Zeit, biser auch den Administrator-Account ,,gehackt`` hat. Aber auch ohne im Besitz der Passwortdatei zusein, ist es möglich, in ein System einzudringen, wenn die Passwörter schlecht gewählt wurden.Schlechte Passwörter stellen eine große Gefahr für die Sicherheit eines Systemes dar. Nur allzu oftVerwenden Benutzer als Passwort Wörter, die etwas mit Ihrer Person zu tun haben (Vorname,Geburtsdatum usw.). Verfügt ein Angreifer über solche Informationen, hat er gute Chancen diesenAccount durch einfaches Ausprobieren zu kompromitieren.


Schlecht gewählte Passwörter


Nächste Seite: Viren Aufwärts: Probleme und Gefahren durch Vorherige Seite: Schlecht gewähltePasswörter Inhalt Index

Social EngineeringUnter ,,Social Engineering`` versteht man das Sammeln von Informationen durch das Vortäuschenfalscher Tatsachen.Dies kann auf verschiedenste Art und Weise geschehen. Am häufigsten geschieht dies wohl perEMail. Dazu schreibt ein Angreifer eine EMail an die Benutzer eines Systems, in der er sich alsAdministrator ausgibt und die User zu bestimmten Handlungen auffordert, z.B. ihr Passwort auf einenbestimmten Wert zu setzen oder ein bestimmtes Programm zu starten (Trojaner? siehe Abschnitt 2.3).

Das dies eine reale Bedrohung darstellt, zeigt Abbildung 2.1.

Abbildung 2.1: Wahrnung von AOL an seine User, Quelle: [CT-3/99]

Eine andere Methode, an Accountdaten zu gelangen, ist ebenfalls sehr vielversprechend: Per Telefonruft der Angreifer User an und gibt sich als Systemverwalter aus. Mit etwas Geschick ist es meist keinProblem, dem Benutzer vertrauliche Informationen zu entlocken. Dies müssen nicht unbedingtPasswörter sein, einem Angreifer können auch Informationen über das Firmennetzwerk selbst sehrhilfreich sein, z.B. verwendete Betriebssysteme, Internetdienste, Hardware oder IP-Adressen, um nureinige relevante Parameter zu nennen. Mit diesem Wissen kann man dann andere Angriffsmethodenanwenden und der Angerufene wird niemals auf die Idee kommen, daß die Herausgabe seinerInformationen zu einem Angriff auf das Firmen-LAN geführt haben.

Diese Methode mag vielleicht auf den ersten Blick als sehr banal erscheinen, aber dasSicherheitsbewußtsein ist bei den meisten Anwendern kaum oder gar nicht vorhanden. Hinzu kommt,daß ein normaler Anwender überhaupt keine Vorstellung davon hat, daß viele Angriffe ohne dieentsprechenden Informationen über ein Firmen-LAN nicht möglich wären. (Für den einen ist es nureine IP-Adresse, für den anderen der Weg ins Firmennetz.)

Social Engineering


Nächste Seite: Viren Aufwärts: Probleme und Gefahren durch Vorherige Seite: Schlecht gewähltePasswörter Inhalt Index Klaus Bauer 1999-10-20

Social Engineering


Nächste Seite: Viren durch Disketten Aufwärts: Probleme und Gefahren durch Vorherige Seite:Social Engineering Inhalt Index

VirenEin Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert unddadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderenProgrammen oder deren Umgebung vornimmt. [bsi-1]

Allein in der Bundesrepublik Deutschland wird jedes Jahr ein Schaden in dreistelliger Millionenhöhedurch Computer-Viren verursacht.

Viren können folgende Funktionen ausführen:

Anzeigen von Bildschirmanimationen●

Abspielen von Lauten oder Melodien über den PC-Lautsprecher●

Manipulation, Löschen von Daten●

Manipulation von Programmen.●

Die ersten beiden Punkte werden meist von harmlosen Viren ausgeführt. Dabei entsteht in der Regelkein wirklicher Schaden. Es gibt aber viele solcher harmloser Viren, die Schäden verursachen, weilsie schlecht programmiert und fehlerhaft sind.Das Gefahrenpotential, das von Viren ausgeht, die eine oder beide der oben letztgenanntenFunktionen ausführen, ist hingegen sehr groß. Man stelle sich nur vor, ein Virus durchsucht dasSystem nach Accountdaten, z.B. für Homebanking oder Internetzugang und übermittelt diese dann anden Autor.

Viren können auf verschiedene Arten in ein LAN bzw. ein System gelangen:

UnterabschnitteViren durch Disketten●

Komplettpakete - vorinstallierte Software●

Viren aus dem Internet●

Nächste Seite: Viren durch Disketten Aufwärts: Probleme und Gefahren durch Vorherige Seite:Social Engineering Inhalt Index Klaus Bauer 1999-10-20

Viren


Nächste Seite: Komplettpakete - vorinstallierte Software Aufwärts: Viren Vorherige Seite: Viren Inhalt Index

Viren durch DiskettenEine Hauptquelle für Computer-Viren sind Disketten. Da Disketten häufig unter den Anwendernausgetauscht werden, sind sie bestens zur Verbreitung von Viren geeignet.

Auch auf Disketten mit Orginal-Software wurden schon Viren gefunden. Gerade Disketten mitTreibersoftware für irgenwelche Peripheriegeräte (Maus, Graphikkarten usw.) waren nicht immervirenfrei. Das liegt meist daran, daß der Hersteller aus Kostengründen keine Virenprüfung durchführtoder ein veraltetes Virenprogramm einsetzt.


Viren durch Disketten


Nächste Seite: Viren aus dem Internet Aufwärts: Viren Vorherige Seite: Viren durch Disketten Inhalt Index

Komplettpakete - vorinstallierte SoftwareImmer mehr PC werden mit vorinstallierter Software verkauft. Auch auf diesem Wege gelangen Virenin das Firmen-LAN. IBM lieferte einige Systeme aus, auf denen sich ein Virus befand. Der Grunddafür war, daß bei der Virenüberprüfung ein veralteter Virusscanner eingesetzt wurde.


Komplettpakete - vorinstallierte Software


Nächste Seite: Schwachstellen des IP-Protokolls - Aufwärts: Viren Vorherige Seite:Komplettpakete - vorinstallierte Software Inhalt Index

Viren aus dem InternetDie meisten Viren gelangen mittlerweile aus dem Internet in die Firmennetze. Hautsächlich gelangenViren per EMail in ein Computernetzwerk, aber auch beim Herrunterladen von Software oder beimWebsurfen kann man sich Viren einfangen.

EMails können Daten als Attachment enthalten, z.B. MS-Word-Dokumente, Bilder oder Programme,die mit einem Virus infiziert sind. Immer beliebter werden MACRO-Viren, die in diversenMS-Dokumenten (Excel,Word...) enthalten sein können. Jüngstes Beispiel für einen solchenMACRO-Virus: ,,Melissa`` siehe http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html. Software, die zum Download angeboten wird, kannmit einem Virus versehen worden sein. Siehe dazu auch Trojanische Pferde in Abschnitt 2.3.Bei der Nutzung des WWW reicht oftmals ein Mausklick an einer bestimmten Stelle auf derjeweiligen Webseite aus und neben der Übertragung der Daten wird gleich die entsprechendeApplikation gestartet. Beispiel: Download eines mit einem MACRO-Virus versehenenMS-Worddokuments. Der Browser erkennt dieses als solches und startet Word zum Anzeigen desDokuments. Wenn nun in Word die Macro-Funktionen eingeschaltet sind, wird der MACRO-Virusautomatisch aktiviert. Dies funktioniert allerdings nur, wenn der Webbrowser dies unterstützt, wasalle neuen Browser tun.

Nächste Seite: Schwachstellen des IP-Protokolls - Aufwärts: Viren Vorherige Seite:Komplettpakete - vorinstallierte Software Inhalt Index Klaus Bauer 1999-10-20

Viren aus dem Internet


http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html


Nächste Seite: Schwachstellen des ICMP-Protokolls - Aufwärts: Probleme und Gefahren durch Vorherige Seite: Viren aus demInternet Inhalt Index

Schwachstellen des IP-Protokolls - Internet ProtokollRFC 791Im Internet wird seit 1982 das Internet Protokoll Version 4 eingesetzt. Seit längerer Zeit wird an einer neueren Version des Protokolls(IPv6) gearbeitet. Da jedoch noch nicht abzusehen ist, wann es zum Einsatz kommt, wird in dieser Arbeit nicht weiter daraufeingegangen. IP-Protokoll bedeutet in dieser Arbeit immer Version 4 wie sie in RFC 2.1 791 spezifiziert ist.Das IP-Protokoll hat eine Reihe von Schwachstellen, da sein Design nicht auf Sicherheit ausgelegt war. IP wurde entwickelt, umDatenpakete (IP-Pakte) von einem Rechner zu einem anderen zu transportieren.

Das Internet Protokoll ist ein verbindungsloses Protokoll zum Austausch von Daten zwischen zwei Rechnern ohne vorherigenVerbindungsaufbau. IP macht die Netzzugangsschicht für die Transportschicht unsichtbar, dadurch ist es möglich verschiede Netztypenan ein IP-Gateway anzuschließen. IP hat keine Mechanismen zur Flußsteuerung (Reihenfolge der Datenpakete) oder zurVerläßlichkeitsprüfung (sind alle Daten angekommen). In Abbildung 2.2 ist der TCP/IP-Protokollstack graphisch dargestellt.

Abbildung 2.2: Der TCP/IP-Protokollstack

Das IP-Protokoll hat folgende Aufgaben:

Definition eines DatagrammsEin Datagramm ist die kleinste Übertragungseinheit im Internet. Abbildung 2.3 zeigt den Aufbau eines IP-Datagramms.

●

Schwachstellen des IP-Protokolls - Internet Protokoll RFC 791


Abbildung 2.3: Ein IP-Datagramm

Definition des AdreßschemasUm Pakte von einem Rechner zu einem anderen zu senden werden, IP-Adressen verwendet. Abbildung 2.4 zeigt den Aufbau derverschieden IP-Adressen für die Version 4 des IP-Protokolls. In der Praxis sind nur die Class A, B und C Adressen relevant.Links ist jeweils der Wert des bzw. der höchstwertigen Bit angegeben.

●



Abbildung 2.4: IP-Adreßformate

Datentransport zwischen Netzzugangsschicht und Transportschicht●

RoutingIP holt sich aus dem Header die Zieladresse heraus; wenn diese im eigenen Netz liegt, wird das Paket zugestellt, ansonsten wirdes an die IP-Forwarding-Routine weitergeleitet.

●

FragmentierungWenn ein Datagramm auf seinem Weg zum Zielrechner durch verschiedene Netze geroutet wird, kann der Fall eintreten, daß dieMTU (Maximal Transmission Unit) der Netze unterschiedlich sind. Wenn das IP-Datagramm größer als die MTU des Netzesist, muß IP das Paket in kleinere Fragmente aufteilen. Dieser Vorgang wird Fragmentierung genannt. Jedes Fragment erhält dabeieinen eigenen IP-Header (siehe Abbildung 2.3) dabei werden die Felder Identifikation, Flags und Fragmentnummer zureindeutigen Identifizierung des Fragments gesetzt. Fragmentierte Pakete können für Firewall-Systeme, die auf Paketfilterungbasieren eine Gefahr darstellen, da nur das erste Fragment TCP- bzw. UDP-Header-Informationen enthält (vgl.Fragmentation-Angriff).Falls die Fragmente wieder in ein Netz mit einer größeren MTU kommen, werden sie durch IP wieder zusammengesetzt. Diesbezeichnet man als Defragmentierung.

●

IP kann durch folgende Methoden angegriffen werden:

IP-Spoofing

Unter IP-Spoofing versteht man das Fälschen der Quelladresse in einem IP-Datagramm. Dieser Angriff ist in [CA-96.21] genaubeschrieben. Wenn man Dienste anbietet, die zur Authentisierung nur die IP-Adresse nutzen, kann ein Angreifer mit dieserMethode Zugang zu diesen Services erlangen. Zum Beispiel sind folgende Dienste durch IP-Spoofing angreifbar:

RPC, siehe Abschnitt 2.14❍

NFS, siehe Abschnitt 2.14.1❍

BSD UNIX ,,r``-Kommandos, siehe Abschnitt 2.18❍

IP-Spoofing bildet die Grundlage für zahlreiche weitere Angriffe, z.B. Hijacking oder SYN-Flooding (siehe Abschnitt 2.10). Einbekannter Angriff, der IP-Spoofing benutzt, ist Land. Dazu werden IP-Pakete erzeugt, bei denen Quell-IP-Adresse undQuell-Port gleich Ziel-IP-Adresse und Ziel-Port sind. Dies führt bei manchen Systemen zu einem Absturz. In [CA-97.28] istdieser Angriff genauer beschrieben.

●

Fragmentation-Angriff

Es gibt zwei unterschiedliche Formen dieser Attacke:

Tiny-Fragment-Attack

Ziel dieser Attacke ist es, durch geschickte Fragmentierung von IP-Pakten Filterregeln eines Paketfilters zu umgehen.Dieser Angriff ist in [RFC-1858] detailiert beschrieben. Dabei versucht der Angreifer, seine Nutzdaten (z.B. TCP-Pakete)in so kleine Fragmente zu zerlegen, daß ein statischer Paketfilter seine Regeln bezüglich des TCP-Headers nicht mehranwenden kann. Paketfilter, die nur das erste Fragment untersuchen, könnten Beispielsweise dadurch ausgetrickst werden,daß man im ersten Fragment nur einen Teil des TCP-Headers ablegt, z.B. nur den Source Port, Destination Port und dieSequence Number. Im zweiten Fragment werden die restlichen TCP-Header Informationen (ACK-Bit, Flags usw.)abgelegt. Kann das erste Fragment den Filter passieren, so könnte ein Angreifer eine eingehende TCP-Verbindung z.B.TELNET durch den Filter schleusen 2.2, da die Information, ob es sich um das erste Paket (ACK-Bit nicht gesetzt) einerTCP-Verbindung handelt oder nicht, im zweiten Fragment enthalten ist, was aber von vielen Paketfiltersystemen nichtmehr geprüft wird.

❍

Overlapping-Fragment-Attack

Dieser Angriff ist auch unter dem Namen Teardrop bekannt und in [CA-97.28] beschrieben. Die zweite Variante machtsich eine Eigenart des derzeitigen Reassemblierungsalgorithmus von IP zu nutze. Der Algorithmus läßt es zu, daß neueingetroffene Fragmente Teile von bereits empfangenen Fragmenten überschreiben können. Wie oben beschrieben,erhalten Fragmente zur Identifizierung ihrer Position im Datenstrom eine Fragmentnummer (Offset). Diese setzt sich ausdem Offset des vorhergehenden Fragments plus dessen Größe in Bytes zusammen. Das erste Fragment hat immer denOffset 0, das zweite 0 puls Größe des ersten, das dritte Offset des zweiten plus Größe des zweiten Fragment usw. Dadurchist es einem Angreifer möglich, eine Folge von Paketen zu erzeugen, in denen das erste Fragment harmloseTCP-Header-Informationen enthält, die ein Paketfilter durchläßt. Ein zweites Fragment mit einem Offset größer als Nullkönnte nun andere TCP-Header-Informationen enthalten. Wird der Offset des zweiten Fragmentes nun kleiner gewählt alsdie Größes des ersten Fragmentes, so können die TCP-Header-Informationen des ersten Fragmentes durch die des zweitenüberschrieben werden.Dieser Angriff wird ebenfalls in [RFC-1858] genau beschrieben.

❍

●

Tunneln

Durch die Fragmentierung von IP-Pakten geht nützliche Information, die für Filterentscheidungen notwendig ist, verloren, da nurdas erste Fragment noch Portnummern besitzt. Dadurch könnte ein Angreifer, der einen Komplizen im zu schützenden Netz hat,

●



Fragmente ohne Portnummern durch einen Paketfilter durchschleußen. Wird das erste Fragment nicht weitergeleitet, so ist dasPaket unvollständig, und die restlichen Fragmente werden dann normalerweise verworfen. Doch der Komplize könnte dieFragmente zusammensetzen. Analog könnte auch aus dem zu schützenden Bereich heraus eine Verbindung nach außen aufgebautwerden.

Nächste Seite: Schwachstellen des ICMP-Protokolls - Aufwärts: Probleme und Gefahren durch Vorherige Seite: Viren aus demInternet Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Schwachstellen im TCP-Protokoll - Aufwärts: Probleme und Gefahren durch VorherigeSeite: Schwachstellen des IP-Protokolls - Inhalt Index

Schwachstellen des ICMP-Protokolls -Internet Control Message Protokoll RFC792Das Internet Control Message Protokoll hat die Aufgabe, Status- und Kontrollmeldungen für IP zutransportieren. ICMP benützt IP genauso wie TCP und UDP, also so als ob es ein Protokoll derTransportschicht wäre, aber in Wirklichkeit ist ICMP ein integraler Bestandteil von IP. Jedes IP-Modulmuß ICMP implementiert haben.

ICMP-Nachrichten werden in verschiedenen Situationen versendet:

wenn der Zielrechner nicht erreichbar ist●

wenn die Sendegeschwindigkeit zu groß ist●

wenn es einen kürzeren Weg zum Ziel gibt.●

Da das Internet-Protokoll nicht zuverlässig ist, wurde ICMP entwickelt, um die beteiligten Rechner übermögliche Kommunikationsprobleme zu informieren. Die Zuverläßigkeit von IP wird durch ICMP nichtbeeinflußt. Für eine verläßliche Datenübertragung sind die Protokolle der höheren Schicht (TCP) selbstverantwortlich.

Abbildung 2.5 zeigt den Aufbau von ICMP-Nachrichten.

Abbildung 2.5: ICMP-Nachrichtenformat

Alle ICMP-Meldungen beinhalten drei Felder:

ein Typfeld, um den Nachrichtentyp anzugeben●

ein Codefeld zur Beschreibung der Fehler- oder Statusinformationen●

ein Prüfsummenfeld●

Zusätzlich beinhalten ICMP-Meldungen den Internet-Header und die ersten 64 Bit des IP-Paketes, das dieICMP-Nachricht verursacht hat.

ICMP kann folgende Nachrichten erzeugen:

Schwachstellen des ICMP-Protokolls - Internet Control Message Protokoll RFC 792


Destination Unreachable

Diese Nachricht wird von einem Gateway oder dem Zielrechner verschickt, falls das Gateway dasangebebene Netz oder der Zielrechner ein Protokoll der höheren Schicht oder einen Port nichterreichen kann.In Tabelle 2.1 sind die möglichen Werte des Code-Feldes mit ihrer Bedeutung aufgelistet. EinGatway sendet Nachrichten mit den Codes 0, 1, 4 oder 5; ein Host mit 2 oder 3. DerICMP-Nachrichtentyp ist dabei 3.

Tabelle 2.1: Bedeutung des Code-Feldes beiDestination unreachable

Wert Bedeutung

0 Netz nicht erreichbar

1 Host nicht erreichbar

2 Protokoll nicht verfügbar

3 Port nicht verfügbar

4 Fragmentierung benötigt und DF gesetzt

5 Quellroute fehlgeschlagen

●

Time Exceeded

Diese Nachricht wird erzeugt, wenn das Time-to-Live-Feld in einem IP-Datagramm Null ist. Dabeihat das ICMP-Typ-Feld den Wert 11 und das Codefeld die Werte 0 oder 1. Null bedeutetTime-to-Live abgelaufen, eins bedeutet, daß die Reassemblierungszeit abgelaufen ist. Nachrichtenmit Code 0 werden von Gateways erzeugt, mit Code 1 von Zielrechnern.

●

Parameter Problem

Wenn ein Rechner ein Problem mit dem IP-Header hat, und er deshalb das Datagramm nichtbearbeiten kann, wird diese Nachricht gesendet. Der ICMP-Typ dieser Meldung ist 12 und dasColdefeld hat den Wert 0.

●

Source Quench

Wenn ein Gatway nicht mehr genügend Pufferkapazitäten hat, um die IP-Datagramme zwischen zuspeichern, wird diese Nachricht an den Sender übermittelt. Ein Zielrechner kann diese Nachrichtebenfalls erzeugen, wenn die Datagramme so schnell hintereinander eintreffen, daß er sie nichtmehr verarbeiten kann. Durch diese Nachricht wird der Sender aufgefordert, seineSendegeschwindigkeit zu verringern.Hier ist der ICMP-Typ gleich 4 und der Codewert gleich 0.

●

Redirect

Diese Nachricht erzeugt ein Gateway, wenn es feststellt, daß es einen besseren Weg zumZielrechner gibt. IP-Pakte, welche die Source-Routing-Option haben, erzeugen keineRedirect-Meldungen auch wenn es einen besseren Weg geben würde.Nachrichten-Typ ist 5 und die Codewerte und ihre Bedeutung sind in Tabelle 2.2 aufgeführt.

●



Tabelle 2.2: Bedeutung des Code-Feldes bei Redirect

Wert Bedeutung

0 umleiten von Datagrammen für das Netzwerk

1 umleiten von Datagrammen für den Host

2 umleiten von Datagrammen für den Dienst und das Netzwerk

3 umleiten von Datagrammen für den Dienst und den Host

Echo (Request) or Echo Reply

Mit dieser ICMP-Nachricht kann eine Netzwerkverbindung getestet werden. Man kann zu jederIP-Adresse eine echo-Nachricht senden und der Empfänger muß den Inhalt dieser Nachricht dann inseiner echo-reply-Nachricht zurückschicken. Dadurch wird festgestellt, ob ein bestimmter Rechner(genauer eine bestimmte IP-Adresse) erreichbar ist oder nicht. Auf Benutzerebene nutzt dasProgramm ping genau diesen ICMP-Dienst. Damit ist es ein sehr nützliches Werkzeug umNetzwerkverbindungen zu testen.Das ICMP-Typfeld hat bei diesen Nachrichten den Wert 8 für echo-Meldungen und 0 fürecho-replay-Nachrichten. Das Codefeld hat den Wert 0.

●

Timestamp or Timestamp Replay

Durch Versenden dieser Nachrichten können Hosts oder Gateways Verspätungen im Datenverkehrerkennen.Das Typfeld hat dabei den Wert 13 wenn eine Timestamp-Nachricht verschickt wird und imAntwortpacket den Wert 14. Das Codefeld hat den Wert 0.

●

Information Request or Information Reply

Dieser ICMP-Dienst erlaubt es einem Host, die IP-Adresse des Netzes zu bestimmen, mit dem erverbunden ist. Das RARP (Address Resolution Protokoll) hat mittlerweile diese Aufgabeübernommen.Der ICMP-Typ dieser Meldungen ist 15 bei Request-Nachrichten und 16 für Reply. Das Codefeldhat den Wert 0.

●

Mit ICMP können folgende Angriffe durchgeführt werden:

Denial-of-Service Angriff

Durch die ICMP-Nachrichten Time-Exceeded, Redirect und Destination unreachable kann eszum Ausfall von Diensten auf der angegriffenen Maschine kommen.Viele ICMP-Nachrichten, die einen Host erreichen, sind nur für eine bestimmte Verbindungrelevant. Um diese Verbindung bestimmen zu können sind in den ICMP-Nachrichten der IP-Headerund die ersten 64 bit des IP-Datagramms enthalten. Ältere ICMP-Implementierungen nutzen diesezusätzlichen Information nicht, dadurch kann es zum Abbruch aller bestehenden Verbindungen(auch legitimer) zwischen den beteiligten Hosts kommen. Es gibt sogar eigene Programme, die mitHilfe von ICMP-Nachrichten Verbindungen kappen.

●

Ping-to-Death

Dieser Angriff führt ebenfalls zu Denial-of-Service oder noch schlimmer zu einem Systemabsturz.Bei dieser Attacke sendet der Angreifer ICMP-Pakete mit einer Nutzdatengröße von mindestens65.510 Byte. Diese werden fragmentiert zum Zielsystem übertragen und dort wieder

●



zusammengesetzt. Inklusive des ping-Headers ergibt das ein IP-Paket das größer ist als die maximalzulässige Größe von 65.536 Byte. Bei IP-Implementierungen, die einen solchen Overflow nichtabfangen, kommt es dann zum Systemabsturz. Der Ping-to-Death Angriff ist in [CA-96.26] genaubeschrieben.

Redirect

Mit ICMP-Redirect-Meldungen kann ein Angreifer zutritt zum System erlangen. Durch Versendenvon Redirect-Meldungen kann ein Angreifer den gesamten Datenverkehr eines Netzes über seinenRechner laufen lassen. Gelingt dies, so ist es nicht weiter schwierig, die IP-Pakte nach Loginnamenund Passwörtern zu durchsuchen.

●

Durch die ICMP-Dienste Echo und Echo Reply kann sich ein Angreifer nützliche Informationen über einNetzwerk verschaffen (z.B. Anzahl der Maschinen, welche IP-Adressen gibt es). Dieses Wissen kann dannfür weitere Angriffe verwendet werden.

Nächste Seite: Schwachstellen im TCP-Protokoll - Aufwärts: Probleme und Gefahren durch VorherigeSeite: Schwachstellen des IP-Protokolls - Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Schwachstellen im UDP-Protokoll - Aufwärts: Probleme und Gefahren durch Vorherige Seite: Schwachstellen desICMP-Protokolls - Inhalt Index

Schwachstellen im TCP-Protokoll - TransmissionControl Protokoll RFC 793Das TCP-Protokoll ermöglicht gesicherte, zuverläßige Verbindungen. Das bedeutet, daß die Daten vollständig, korrekt und ohneDuplikate beim Zielrechner (genauer Anwendung) abgeliefert werden. TCP ist ein verbindungsorientiertes Protokoll und wird von denmeisten Internetdiensten (z.B. Telnet,FTP,SMTP) benutzt.Eine TCP-Verbindung läuft ähnlich wie ein Telefongespräch ab: Man wählt die Nummer, wartet bis die Verbindung zustande kommtund beginnt dann mit der ,,Datenübertragung``. Zwischen den Kommunikationspartnern besteht dann eine relativ zuverlässigeVerbindung.

TCP-Nachrichten können durch folgende vier Parameter eindeutig identifiziert werden:

Tabelle 2.3: Parameter zurIdentifikation einer TCP-Verbindung

Quell-IP-Adresse Quell-Portnummer

Ziel-IP-Adresse Ziel-Portnummer

Abbildung 2.6 zeigt den Auffbau von TCP-Pakten.

Abbildung 2.6: Aufbau des TCP-Headers

Die Kommunikationsendpunkte werden durch Quellport und Zielport bestimmt. Es gibt sogennante ,,well known ports`` denenbestimmte Internetdienste zugeordnet sind, z.B. Port 80 für HTTP, Port 25 für SMTP.

Server-Prozesse, die einen Dienst über TCP anbieten, ,,lauschen`` auf bestimmten Portnummern, um eine Verbindungentgegenzunehmen. Dies wird als listen oder TCP-listen bezeichnet. Im Netzwerkcode von BSD-Unix wurden für Server-Prozesse

Schwachstellen im TCP-Protokoll - Transmission Control Protokoll RFC 793


Portnummern 1024 definiert. Dies sind privilegierte Nummern, die nur vom Superuseraccount (unter UNIX root) verwendet werden

dürfen. Da die meisten Betriebssysteme ihren Netzwerkcode aus dem BSD-Code entwickelt haben, ist diese Übereinkunft weitverbreitet.In [FSI-96] ist der Grund dieser Definition beschrieben: ,,Fremde Systeme sollen der Authentizität von Informationen, die sie von diesenPorts erhalten, vertrauen können.`` Leider ist dies nur eine Konvention und nicht Teil der Protokollspezifikation. Die Folge ist, man darfprivilegierten Portnummern nur trauen, wenn man sicher weiß, daß sich das Quellsystem an diese Übereinkunft hält und daß es korrektadministriert wird. Abbildung 2.7 zeigt den Ablauf einer TCP-Sitzung.



Abbildung 2.7: TCP-Sitzung, Quelle: [FSI-96]

Nur das erste Paket einer TCP-Verbindung hat kein ACK-Bit gesetzt. Dadurch kann man einen TCP-Verbindungsaufbau erkennen undgegebenenfalls blockieren durch Abweisen des ersten Paketes. Ohne die Informationen des ersten Pakets können nachfolgende Pakete(mit gesetztem ACK-Bit) vom Empfänger nicht zusammengesetzt werden.TCP verwendet Sequenznummern um die Reihenfolge der Pakte bestimmen zu können. ,,Da sich die Startlaufnummer für neueVerbindungen ständig ändert, ist es TCP möglich, alte Pakete aus vorangegangenen Inkarnationen derselben virtuellen Verbindung (alsomit dem gleichen 4-Tupel, siehe Tabelle 2.3) zu erkennen.`` [FSI-96]

Folgende Angriffe können auf TCP verübt werden:

Sequenznummern-Angriff

Bei einigen TCP-Implementierungen erfolgte die Auswahl der Sequenznummern ,,nicht zufällig genug``, so daß es einemAngreifer möglich war, diese vorherzusagen. In [Morris-85] und [Bellovin-89] ist dieser Angriff beschrieben. Dadurch kann einAngreifer unter bestimmten Vorraussetzungen seinem Opfer eine Verbindung mit einem vertrauten System vorspielen. Protokolle,die sich zur Authentifikation nur auf IP-Adressen verlassen (z.B. die ,,r-Befehle`` von BSD, siehe Abschnitt 2.18), können damitzum Eindringen in das System mißbraucht werden.

●

Tcp-Syn-Flooding

Diese Attacke ist in [CA-96.21] genauer beschrieben. Wenn ein Client-Programm eine TCP Verbindung zu einem Server aufbaut,wird ein sogennanter Three-Way-Handshake zum Verbindungsaufbau angestoßen (vgl. Abbildung 2.7). Dies ist bei allen TCPVerbindungen gleich (z.B. Telnet,EMail,etc.). Das Client-Programm startet den Verbindungsaufbau durch Senden einerSYN-Nachricht zum Server. Der Server bestätigt den Empfang dieser Nachricht durch eine SYN, ACK-Nachricht, die wiederumder Client mit ACK bestätigt. Die Verbindung ist nun aufgebaut und die beiden Programme können mit dem Datenaustauschbeginnen. Beim Tcp-Syn-Flooding Angriff sendet der Client die letzte ACK-Nachricht nicht und es entsteht eine halb offeneVerbindung. Alle ,,halb offenen Verbindungen`` werden in einer Datenstruktur gespeichert. Durch ständiges Erzeugen solcherVerbindungen kann ein System lahm gelegt werden. D.h., es ist dann nicht mehr in der Lage, weitere TCP-Verbindungenanzunehmen. In schlimmeren Fällen kommt es zum Systemabsturz, das hängt vom verwendeten Betriebssystem (und der Versiondes OS) ab.

●

Hijacking

Bei dieser Methode kann ein Angreifer bestehende TCP-Verbindungen übernehmen. Um diesen Angriff durchführen zu könnensind Superuserrechte nötig, da der UNIX-Kernel dynamisch modifiziert werden muß. Es existieren Programme, die dieseVeränderungen durchführen. Dadurch kann ein Eindringling starke Authentisierungsmechanismen umgehen, indem er wartet,bis die Verbindung zu stande gekommen ist und dann das Programm startet um die Verbindung zu übernehmen. In [CA-95.01] istdiese Methode beschrieben.

●

Nächste Seite: Schwachstellen im UDP-Protokoll - Aufwärts: Probleme und Gefahren durch Vorherige Seite: Schwachstellen desICMP-Protokolls - Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: ARP Address Resolution Protokoll Aufwärts: Probleme und Gefahren durchVorherige Seite: Schwachstellen im TCP-Protokoll - Inhalt Index

Schwachstellen im UDP-Protokoll - UserDatagram Protokoll RFC 768UDP stellt, im Gegensatz zu TCP, ein unzuverlässiges System zum Austausch von Daten zwischenProgrammen dar. Unzuverlässig deshalb, weil nicht garantiert wird, daß die Daten ankommen oderdaß die Reihenfolge stimmt. Datenpakete können auch doppelt vorkommen. Dafür hat UDP abereinen wesentlich besseren Datendurchsatz als TCP, da es viel einfacher aufgebaut ist.In Abbildung 2.8 ist der Aufbau eines UDP-Paketes dargestellt.

Abbildung 2.8: UDP-Header

Die einzelnen Felder haben folgende Bedeutungen:

QuellportDieses Feld ist optional. Wenn es nicht verwendet wird, hat es der Wert Null, ansonsten diePortnummer des sendenden Applikationsprozesses.

●

ZielportDadurch wird die entsprechende Applikation auf dem Zielrechner bestimmt.

●

LängeIn diesem Feld steht die Länge des Datagramms inklusive des Headers in Oktets 2.3 . Darausfolgt, daß der Minimalwert dieses Feldes 8 ist.

●

PrüfsummeIn diesem Feld wird ein aus dem IP-Header, dem UDP-Header und den Daten erzeugter Werteingetragen. Der Datenteil wird (falls nötig) mit Nullen aufgefüllt, bis er ein vielfaches von 2Oktes lang ist.

●

UDP hält sich an die gleichen Bestimmungen für Portnummern und Server wie TCP. Aber dennochhaben UDP-Portnummern nichts mit TCP-Portnummern zu tun. UDP-Pakete sind sehr viel leichter zufälschen als TCP-Pakete, da sie weder Quittungsnummern noch Sequenznummern haben. UDP wirdz.B. von DNS oder TFTP benutzt (siehe Abschnitt 2.15.4 bzw Abschnitt 2.15.3.1).

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768


Von UDP gehen folgende Bedrohungen aus:

FloodingBei diesem Angriff ,,überflutet`` ein Angreifer sein Opfer mit UDP-Paketen. Dies führt zueinem massiven Performanceverlust auf dem Zielhost und im schlimmsten Fall zu einemAusfall des angegriffen Dienstes (denial-of-service). Verknüpft ein Angreifer UDP-Dienstezweier Maschinen miteinander, so kann es zur Überlastung des Netzes kommen. Diese Attackefunktioniert deshalb, weil UDP keine Flußkontrolle besitzt. (siehe dazu auch [CA-96.01])

●

UDP-SpoofingWie weiter oben schon erwähnt, ist das Fälschen von UDP-Pakten sehr leicht: UDP hat keinevergleichbaren Mechanismen wie TCP (Quittungsnummern, Sequencenummern).

●

Nächste Seite: ARP Address Resolution Protokoll Aufwärts: Probleme und Gefahren durchVorherige Seite: Schwachstellen im TCP-Protokoll - Inhalt Index Klaus Bauer 1999-10-20

Schwachstellen im UDP-Protokoll - User Datagram Protokoll RFC 768


Nächste Seite: Routing Aufwärts: Probleme und Gefahren durch Vorherige Seite: Schwachstellenim UDP-Protokoll - Inhalt Index

ARP Address Resolution Protokoll RFC826In Lokal Area Netzwerken (LAN) werden IP-Pakete meistens über Ethernet verschickt. Da aberEthernet-Geräte nichts mit IP-Adressen anfangen können, müssen die IP-Treiber die IP-Zieladressenin die entsprechenden Ethernet-Zieladressen umwandeln. Zu diesem Zweck wurde das ARP-Protokollentwickelt.

Um das IP-Ethernet-Adreßpaar eines Systems herauszufinden, sendet das ARP-Protokoll einenEthernet-Broadcast (Rundruf) mit der IP-Adresse des Zielsystemes aus. Der Rechner, der dieseIP-Adresse hat, antwortet dem fragenden System mit einem Paket, welches dasIP-Ethernet-Adreßpaar enthält. Um unnötige ARP-Anfragen zu vermeiden, wird das Antwortpaketgespeichert.

Das ARP-Protokoll kann zu einem Sicherheitsrisiko werden, wenn ein Angreifer falsche Antwortenauf einen Ethernet-Broadcast erzeugen kann. Dadurch könnte er den gesamten Datenverkehr aufeine bestimmte Maschine (die unter seiner Kontrolle ist) umlenken. Die Konsequenz daraus ist klar:der Hacker kommt in den Besitz von Passwörtern und anderen wichtigen Daten.


ARP Address Resolution Protokoll RFC 826


Nächste Seite: Interior Routing Protokolle Aufwärts: Probleme und Gefahren durch VorherigeSeite: ARP Address Resolution Protokoll Inhalt Index

RoutingRouting ermöglicht Kommunikation zwischen verschiedenen Netzwerken und ist daher einelementarer Bestandteil des Internets. Unter Routing versteht man die Suche nach dem geeignetstenWeg durch verschiedene Netze vom Ursprungs- zum Zielrechner. Dieser Weg führt meist übermehrere Router.Ein Router ist ein Rechner, der Daten zwischen verschiedenen Netzen transportiert. In derIP-Terminologie werden Router auch als Gateways bezeichnet 2.4.Jeder Router muß Entscheidungen treffen, in welches physikalische Netz ein Paket weitergeleitetwerden soll 2.5. Zu diesem Zweck existieren sogenannte Routing-Tabellen.

Es wird zwischen drei Arten des Routing unterschieden:

Minimal routingIn einem einfachen Netzwerk ohne Anbindung zu anderen Netzen und ohne Subnetze genügtnormalerweise eine minimale Routingtabelle. Sie enthält nur zwei Einträge: DieLoopback-Route und das eigenen Netz. Bei den meisten UNIX-Betriebssystemen wird dieseTabelle beim Systemstart automatisch durch ifconfig (Konfiguration der/desNetzwerkinterfaces) erzeugt 2.6.

1.

Static routingWenn ein Netzwerk nur durch einen Router mit der Außenwelt verbunden wird, ist dieseMethode die beste Wahl. Beim statischen Routing erzeugt der Systemadministrator dieRouting-Tabelle ,,von Hand`` (unter UNIX mit dem Befehl route). Statische Routing-Tabellenkönnen sich nicht auf Änderungen im Netzwerk entsprechend anpassen, z.B. wenn eine Routeausgefallen ist. Der Administrator muß entsprechend reagieren und die Tabelle editieren.

2.

Dynamic routingIn komplexen Netzwerken ist statisches Routing nicht mehr praktikabel. DynamischeRouting-Tabellen werden durch Informationen, die verschiedene Router mit Hilfe vonRouting-Protokollen austauschen, erzeugt.Routing-Protokolle haben nicht nur die Aufgabe, auf eine Backup-Route umzuschalten, wenndie Hauptroute ausgefallen ist, sondern auch den ,,besten`` Weg zu einem Ziel zu finden.In jedem Netzwerk, das mehr als einen Weg zu einem Ziel zur Verfügung hat, solltedynamisches Routing eingesetzt werden, d.h. Routing-Protokolle.

3.

Bei den Routing-Protokollen unterscheidet man zwischen interior (interne) und exterior (externe)Protokollen. Das Internet wurde in den 80er-Jahren in mehrere sogenannte ,,Autonome Systeme``(AS) aufgeteilt. Salopp ausgedrückt ist ein autonomes System eine größere Anzahl von Routern undNetzwerken unter einer gemeinsamen Verwaltung.Innerhalb autonomer Systeme werden interior-Routing-Protokolle eingesetzt, umRoutinginformationen auszutauschen. Zwischen autonomen Systemen erledigen

Routing


exterior-Routing-Protokolle den Informationsaustausch.Weiterführende Informationen zum Routing im Internet findet man in [Huit].

UnterabschnitteInterior Routing Protokolle

RIP Version 2 Routing-Information-Protokoll RFC 1723❍

OSPF Open Shortest Path First RFC 2178❍

●


EGP - Exterior Gateway Protokoll❍

BGP Border-Gateway-Protokoll RFC 1771❍

●

Nächste Seite: Interior Routing Protokolle Aufwärts: Probleme und Gefahren durch VorherigeSeite: ARP Address Resolution Protokoll Inhalt Index Klaus Bauer 1999-10-20

Routing


Nächste Seite: RIP Version 2 Routing-Information-Protokoll Aufwärts: Routing Vorherige Seite:Routing Inhalt Index


UnterabschnitteRIP Version 2 Routing-Information-Protokoll RFC 1723●

OSPF Open Shortest Path First RFC 2178●




Nächste Seite: EGP - Exterior Gateway Aufwärts: Routing Vorherige Seite: OSPF Open ShortestPath Inhalt Index


UnterabschnitteEGP - Exterior Gateway Protokoll●

BGP Border-Gateway-Protokoll RFC 1771●




Nächste Seite: NFS - Network File Aufwärts: Probleme und Gefahren durch Vorherige Seite: BGPBorder-Gateway-Protokoll RFC 1771 Inhalt Index

RPC-Dienste - Remote Procedure CallEines der ersten RPC-Protokolle wurde von Sun Microsystems entwickelt und bildet die Grundlagefür weitere Dienste (z.B. NFS,NIS). Durch dieses Protokoll ist es möglich, Anwendungen auf mehrereRechner zu verteilen. Ein Client schickt eine Nachricht an einen Server. Der Server führt daraufhinden entsprechenden RPC-Dienst aus und schickt dem Cliente seine Antwort. Damit RCP über UDPoder TCP laufen kann, müssen die RPC-Service-Nummern in die entsprechenden UPD- bzw.TCP-Portnummern übersetzt werden. Diese Aufgabe übernimmt der portmapper (oder auchrpcbind). Der Portmapper-Server ist der einzige RPC-Server, dessen UDP- bzw. TCP-Port festgelegtist. Ihm wurde die Portnummer 111 zugewiesen [BIF-96].

Die Bedrohungen, die von RPC ausgehen, hängen stark mit den Anwendungen zusammen, die aufRPC basieren. Clienten, die einen RPC-Server nutzen, müssen sich gegenüber dem Serverauthentisieren, damit dieser entscheiden kann, welche Zugriffsrechte für den jeweiligen Clientangewendet werden müssen. Viele UNIX Impelmentierungen von RCP nutzen dazu AUTH_UNIX,d.h., jeder RPC-Request enthält die Uid und Gruppennummern des Users, der die Anfrage an derServer stellt. Diese Informationen sind leicht zu fälschen und deshalb ist dies eine unsichereAuthentisierungsmethode. Sicherer ist es, Secure RPC zu verwenden. Dabei werden die Datenverschlüsselt durch DES (Data Encryption Standard) übertragen. Leider ist dieses Verfahren nichtstark genug, um auch gegen versierte Angreifer ausreichend Schutz zu bieten, da der verwendeteDES-Algorithmus nur 56-bit-Schlüssel verwendet2.7. Daten, die mit dieser Schlüssellängeverschlüsselt worden sind, können durch Ausprobieren (brute-force-Angriff) mit einemleistungsstarken PC entschlüsselt werden. [PUIS]Eine weitere Schwachstelle ist der oben schon erwähnte Portmapper. Der Portmapper hat einenAufruf zum Abmelden von Diensten. Dieser kann für Denial-of-Service-Attacken mißbrauchtwerden. Darüberhinaus kann man den Portmapper-Server dazu veranlassen, daß er Informationen überdie angebotenen Dienste preisgibt. Diese sind meist eine extrem nützliche Planungshilfe für weitereAngriffe. In Tabelle 2.4 ist der Inhalt einer Portmapper-Tabelle zu sehen. In ihr steht, welche Dienstemit welchen Versionsnummern angeboten werden und auf welchen Portnummern sie zu finden sind.Viele Portnummern sind größer als 1024! 2.8

Tabelle 2.4: Portmapper-Tabelle, Quelle:[FSI-96],S. 41



program vers proto port

100000 2 tcp 111 portmapper

100000 2 udp 111 portmapper

100029 1 udp 656 keyserv

100026 1 udp 729 bootparam

100021 1 tcp 735 nlockmgr

100021 1 udp 1029 nlockmgr



100020 2 udp 1031 llcockmgr

100020 2 tcp 744 llockmgr



100024 1 udp 733 status

100024 1 tcp 736 status

100011 1 udp 3739 rquotad

100001 2 udp 3740 rstatd

100001 3 udp 3740 rstatd

100001 4 udp 3740 rstatd

100002 1 udp 3741 rusersd

100002 2 udp 3741 rusersd

100012 1 udp 3742 sprayd

100008 1 udp 3743 walld

100068 2 udp 3744

Das größte Problem des portmapper ist aber seine Fähigkeit, indirekte RPC-Aufrufe zu ermöglichen.Um den Aufwand einer Anfrage nach der tatsächlichen Port-Nummer, der Antwort und demeigentlichen RPC-Aufruf zu vermindern, kann der Client den portmapper beauftragen, denRPC-Aufruf an den gewünschten Server weiterzuleiten. Diese weitergeleitete Nachricht trägt abernotwendigerweise die Quelladresse des portmapper. Damit wird es den Applikationen unmöglich,diesen Auftrag von echten lokalen Aufträgen zu unterscheiden und dessen Vertrauenswürdigkeitangemessen zu beurteilen [FSI-96].



UnterabschnitteNFS - Network File System RFC 1094, 1813●

NIS - Network Information Service●

Nächste Seite: NFS - Network File Aufwärts: Probleme und Gefahren durch Vorherige Seite: BGPBorder-Gateway-Protokoll RFC 1771 Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: NIS - Network Information Aufwärts: RPC-Dienste - Remote Procedure VorherigeSeite: RPC-Dienste - Remote Procedure Inhalt Index

NFS - Network File System RFC 1094, 1813NFS ist ein verteiltes Filesystem. NFS ermöglicht es anderen Maschinen ein Filesystem vomNFS-Server zu mounten 2.9. Da dies für den User transparent geschieht, kann er auf das soeingebundene Filesystem zugreifen, als ob es lokal auf seinem Arbeitsplatzrechner wäre.NFS vereinfacht die Systemadministration, da man bestimmte Files (z.B. die Homeverzeichnisse derBenutzer) nicht mehr auf allen Rechnern bereitstellen muß : die NFS-Clients greifen einfach auf dasentsprechende File auf dem NFS-Server zu. Aber auch für die Anwender bringt NFS Vorteile: manmuß sich nicht mehr auf verschiedenen Rechnern einloggen, sondern kann von einer Maschine ausper NFS auf die Files zugreifen.

NFS bringt eine Reihe von Sicherheitsproblemen mit sich. NFS basiert auf RPC, UDP undzustandsfreien-Servern, d.h., ein NFS-Server merkt sich keinen Kontext, sondern behandelt jedeAnfrage unabhängig. Deshalb muß jede Anfrage einzeln authentisiert werden.Da NFS standardmäßig die bei RCP schon erwähnte AUTH_UNIX-Methode zur Authentisierungbenutzt, ist es für einen Angreifer relativ einfach, NFS-Anfragen unter Angabe einer flaschen Identitätdurchzuführen.

Da NFS-Pakte unverschlüsselt übertragen werden, kann man diese leicht mitlesen und nochmals anden Server schicken (Replay-Angriff). Welche Maschinen auf welche Filsysteme Zugriff haben, wirddurch ein File gesteuert (unter UNIX /etc/exports). Eine weitere Schwachstelle von NFS ist, daß essich auf IP-Adressen zur Authentisierung von Clients verläßt, weil diese leicht zu fälschen sind. Daeine korrekte NFS-Konfiguration keine leichte Sache ist, entstehen oft noch zusätzlicheSicherheitslöcher durch eine falsche Konfiguration.

Nächste Seite: NIS - Network Information Aufwärts: RPC-Dienste - Remote Procedure VorherigeSeite: RPC-Dienste - Remote Procedure Inhalt Index Klaus Bauer 1999-10-20

NFS - Network File System RFC 1094, 1813


Nächste Seite: Schwachstellen der Internetdienste Aufwärts: RPC-Dienste - Remote ProcedureVorherige Seite: NFS - Network File Inhalt Index

NIS - Network Information ServiceNIS wurde von Sun Microsystems entwickelt und basiert auf RPC. NIS 2.10 stellt ein verteiltesDatenbanksystem dar, das zur Verwaltung wichtiger Konfigurationsdateien von einem zentralenServer aus, dem NIS-Master-Server, eingesetzt wird. Mit Hilfe von NIS werden z.B. Passwortfile,Hosttabellen (unter UNIX /etc/hosts) oder Tabellen zur Schlüsselverwaltung für Secure-RPCverwaltet.

NIS ist vom Sicherheitsstandpunkt aus betrachtet eine der gefährlichsten RPC-Anwendungen, da esfolgende Angriffe zuläßt:

Automatisierte Angriffe

Der RPC-Dienst, der es NIS-Clienten ermöglicht, Passwörter zu überprüfen, kann sehr gut fürautomatisierte Passwortangriffe verwendet werden, da er sehr hohe Anfrageraten zuläßt.Entsprechende Programme sind im Internet weitverbreitet.

●

Vortäuschen eines NIS-Master-Servers

Bei einigen NIS-Implementierungen ist es möglich, die NIS-Clients anzuweisen, einenbestimmten (manipulierten) NIS-Master-Server zu verwenden. Gelingt dies einem Angreifer,kann er sich auf dem Client einloggen und weitere Attacken starten.

●

Passwortdatei kopieren

Bei einigen NIS-Implementationen ist es möglich, durch Erraten der entsprechendenNIS-Domain (diese ist oft gleich der Internet-Domain des Opfers) dem NIS-Master-Server diePasswortdatei zu entlocken. Gelingt dies einem Angreifer, kann er in das System eindringen.Die Passwörter stehen zwar verschlüsselt in der Passwortdatei, doch mit entsprechendenProgrammen ist es kein Problem, diese zu entschlüsselen.

●

Nächste Seite: Schwachstellen der Internetdienste Aufwärts: RPC-Dienste - Remote ProcedureVorherige Seite: NFS - Network File Inhalt Index Klaus Bauer 1999-10-20

NIS - Network Information Service


Nächste Seite: EMail Aufwärts: Probleme und Gefahren durch Vorherige Seite: NIS - NetworkInformation Inhalt Index

Schwachstellen der InternetdiensteNachfolgend werden die wichtigsten Internetdienste bezüglich ihres Gefahrenpotentials zum Angriffauf ein Computersystem untersucht.

UnterabschnitteEMail

SMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821❍

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521❍

POP - Postoffice Protokoll RFC 1725❍

●

Telnet RFC 854●

Dateitransfer

TFTP - Trivial File Transfer Protokoll RFC 1350❍

FTP - File Transfer Protokoll RFC 959❍

FSP - File Service Protokoll❍

●

DNS - Domain Name Service RFC 1034,1035●


GOPHER RFC 1436❍

WAIS - Wide Area Information Servers❍

Archie❍

HTTP - Hyper Text Transfer Protokoll RFC 2616❍

S-HTTP - Secure Hyper Text Transfer Protokoll❍

Cookies❍

ActiveX❍

Java❍

●

SNMP-Protokoll - Simple Network Management Protokoll RFC 1157●

NNTP - Network News Transfer Protokoll RFC 977●

NTP - Network Time Protokoll RFC 1305●

IRC - Internet Relay Chat RFC 1459●




Nächste Seite: SMTP-Protokoll - Simple Mail Aufwärts: Schwachstellen der InternetdiensteVorherige Seite: Schwachstellen der Internetdienste Inhalt Index

EMailEMail ist wohl nach dem WWW der beliebteste Internetdienst. Im Umgang mit diesem Service istaber Vorsicht geboten.

UnterabschnitteSMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821●

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521●

POP - Postoffice Protokoll RFC 1725●


EMail


Nächste Seite: Dateitransfer Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: POP -Postoffice Protokoll Inhalt Index

Telnet RFC 854TELNET (TCP-Port 23) ist der Standarddienst zum Einloggen auf andere Rechner im Internet. Essimmuliert dabei ein Terminal (keine Graphik, nur Text) und erlaubt die Nutzung von textbasiertenAnwendungen auf einem entfernten Rechner.Telnet an sich baut nur eine TCP-Verbindung zu einem bestimmten Port auf (standardmäßig Port 23).Nur wenn eine Verbindung zu Port 23 geht, kommt das Telnet-Protokoll zum Einsatz. DerTelnetdienst kann aber zu jedem TCP-Port eine Verbindung auffbauen, z.B. durch Eingabe von:telnet kiste.irgendwo.com 25würde eine Verbindung zum Mailserver auf dem Rechner kiste in der Domain irgendwo.comaufgebaut. Anschließend kann man durch Eingeben von SMTP-Befehlen auf derTelnetkommandozeile eine Mail ,,per Hand`` direkt mit SMTP erstellen.

Von Telnet gehen verschiedene Sicherheitsbrohungen aus:

Die Tatsache, daß per Telnet eine Verbindung zu jedem TCP-Port aufgebaut werden kann, ist nützlichfür Debuggzwecke, aber auch für Angriffe auf andere TCP-Dienste (Mail,FTP,etc.).Ein weiteres Problem von Telnet ist, daß alle Daten im Klartext übertragen werden. Da Telnet eineBenutzerauthentisierung verlangt (Loginname,Passwort), kann ein Angreifer sehr leicht durchMitlesen des Netzwerktraffics Accountdaten erlangen.Auch durch Softwarefehler in den Telnetimplementationen wurden in der Vergangenheitverschiedenste Angriffe ermöglicht, siehe dazu [CA-95.14], [CA-95.03a].

Nächste Seite: Dateitransfer Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: POP -Postoffice Protokoll Inhalt Index Klaus Bauer 1999-10-20

Telnet RFC 854


Nächste Seite: TFTP - Trivial File Aufwärts: Schwachstellen der Internetdienste Vorherige Seite:Telnet RFC 854 Inhalt Index

DateitransferIm Internet gibt es im wesentlichen drei Protokolle zum Übertragen von Dateien. Jedes dieserProtokolle hat Sicherheitslücken, die bei der Verwendung des jeweiligen Dienstes berücksichtigtwerden müssen.

UnterabschnitteTFTP - Trivial File Transfer Protokoll RFC 1350●

FTP - File Transfer Protokoll RFC 959●

FSP - File Service Protokoll●


Dateitransfer


Nächste Seite: WWW - World Wide Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: FSP -File Service Inhalt Index

DNS - Domain Name Service RFC 1034,1035Zu Begin des Internet gab es ein(!) großes File, in dem alle Hostnamen mit ihren zugehörigen IP-Adressengespeichert waren. Dieses File wurde durch das Network Information Center (NIC) verwaltet und per FTPim Internet verteilt.Durch das starke Wachstum des Internet mußte eine andere Lösung zur Bereitstellung dieser Informationengefunden werden. Aus diesem Grund wurde DNS entwickelt.DNS stellt eine verteilte Datenbank zur Verwaltung von Hostnamen und IP-Adressen dar. Das DNS-Systemhat folgende drei Hauptkomponenten:

Domain-Name-Space und Resource-Records

Der Domain-Name-Space und die Resource-Records sind in einer Baumstruktur organisiert. JederKnoten und jedes ,,Blatt`` des Domain-Name-Space enthalten einen Datensatz (Resource-Record), derInformationen über eine Domain oder einen Host enthält. In Tabelle 2.5 ist der Inhalt einesResource-Records aufgelistet.

Tabelle 2.5: Inhalt eines DNS-Resource-Records

Feldname Bedeutung

Name Domainname zu der der Resource-Record gehört

Type 16-Bit Wert, der Type des RR's (Resource-Record) geschreibt

Class 16-Bit Wert, der das Protokoll festlegt, IN Internet oder CH Chaos System

TTL 32-Bit Wert, der die Gültigkeitsdauer eines RR's in Sekunden angibt

RD length gibt die Länge des RDTA-Feldes in Bytes an

RDTA Beschreibt die Resource in Abhängigkeit von Type und Class des RR

1.

Name-Server

Name-Server sind Programme, die den Domain-Name-Space und die zugehörigen Resource-Recordsverwalten. Ein Name-Server kann sich jeden beliebigen Teil des DNS-Baumes in seinemCache-Speicher holen, aber normalerweise speichert ein bestimmter Name-Server nur die Teilmengedes DNS-Baumes für die er AUTHORITY-Name-Server ist. Das bedeutet, jeder Name-Sever ist füreinen bestimmten Teilbereich des DNS-Baumes zuständig. Außerdem speichert der Name-Server nochZeiger (Pointer) auf andere Name-Server, die benutzt werden, wenn eine Name-Server Informationangefragt wurde, die nicht von dem lokalen Server beantwortet werden kann. Die Name-ServerAUTHORITATIVE-Informationen sind nochmals in sogenannte ZONEs unterteilt. DieseZONE-Files können automatisch an andere Name-Server verteilt werden, die als zusätzliche Server füreine ZONE eingetragen sind.

2.

Resolver3.

DNS - Domain Name Service RFC 1034,1035


Resolver sind Programme, die Informationen von Name-Servern anfordern, wenn ein Clientprogrammdiese benötigt. Der Resolver fragt erst den lokalen Name-Server und wenn dieser die Anfrage nichtbeantworten kann, wird einer der anderen Name-Server gefragt, auf die die oben erwähnten Pointerzeigen. Das Resolver-Programm ist normalerweise eine Systemroutine, die direkt vonClientprogrammen benutzt werden kann. Abbildung 2.12 stellt die Struktur einer DNS-Anfrage dar.

Abbildung 2.12: Struktur einer DNS-Anfrage, Quelle: [Black-95]

Für jede dieser drei Komponenten stellt sich das Domain-System wie folgt dar:

Aus Benutzersicht

Der Zugriff auf das Domain-Name-System erfolgt durch einen Programmaufruf, der von dem lokalenResolver durchgeführt wird. Der Domain-Name-Space besteht aus einem einzigen Baum und der Userkann Informationen von jedem Teil des Baumes abfragen.

●

Aus Sicht des Resolvers

Für das Resolver-Programm besteht das Domain-System aus einer unbekannten Anzahl vonName-Servern. Jeder Name-Server speichert Daten von einem oder mehreren Teilen desDomain-Baumes, aber der Resolver sieht die einzelnen Datenbanken als statisch an.

●

Aus Name-Server Sicht●



Für einen Name-Server besteht das Domain-System aus einzelnen lokalen Datensätzen, den ZONEN.Ein Name-Server hat lokale Kopien von einigen Zone-Files. Name-Server müssen diese periodischaktualisieren (refresh). Dies geschieht durch periodisches Einlesen der lokalen Zone-Files und durchKopieren von Zone-Files von anderen Name-Servern, dies wird als ZONE-Transfer bezeichnet.

Von DNS gehen verschiedene Bedrohungen aus:

Manipulieren von DNS-Informationen

Ein Angreifer könnte versuchen, den Teil des DNS-Baumes, der Hostnamen in IP-Adressen umsetzt(forward-resolving), so zu manipulieren, daß falsche IP-Adressen zurückgeliefert werden. Dadurchkönnte ein Hacker erreichen, daß der Name eines vertrauten Systems in seine IP-Adresse umgesetztwird. Auch der umgekehrte Weg ist denkbar: durch Manipulation des inversen Teiles desDNS-Baummes (reverse-resolving) wird der IP-Adresse des Hackers der Hostname eines seinemZielsystem vertrauten Systems zugeordnet. Wenn dies gelingt, kann ein Angreifer alle Dienste nutzen,die sich zur Authentifikation auf IP-Adressen verlassen (z.B. rlogin siehe Abschitt 2.18).

●

Versenden falscher DNS-Informationen

Name-Server speichern DNS-Antworten in einem Cache-Speicher zwischen, um unnötige Anfragen zuvermeiden. Oft prüfen Name-Server aber nicht nach, ob es zu einem Antwortpaket auch eine Anfragegab. Dadurch ist es einem Anfgreifer möglich, den Cache-Speicher eines Name-Servers mit falschenInformationen zu füllen. Dies kann zur Vorbereitung weiterer Angriffe sehr nützlich sein.

●

Informationen ausspähen

DNS ist eine reichhaltige Quelle für Informationen, die bei der Vorbereitung weiterer Attacken sehrhilfreich sind. Durch reverse DNS-Anfragen kann ein Angreifer den gesamten Adreßraum eines Netzesdurchsuchen, und dadurch einen Überblick über lohnende Angriffsziele erlangen.Noch gefährlicher ist ein kombinierter Angriff auf DNS und Routingmechanismen: der Angreiferbeantwortet alle Requests an den DNS-Server, Namen in IP-Adressen umzusetzen, mit der IP-Adresseeines zuvor bereits gekaperten Hosts. Dadurch kann der Angreifer die gesamte Kommunikationausspähen und z.B. Passworte sammeln [fwstud].Eine weitere Methode um DNS Informationen zu entlocken, ist die Anwendung des DNS-Befehls, dereinen Zonen-Transfer bewirkt. Durch rekursives Anwenden dieses Kommandos kann ein Angreiferdie Daten des gesamten Name-Space erhalten. Die Authentisierung für dieses Kommando erfolgt überIP-Adressen. Diese sind aber relativ leicht zu fälschen.

●

Fehler bei der Implementierung von DNS

Bei den Programmen, die DNS implementiert haben, wurden immer wieder schwerwiegende Fehlergefunden, die einem Angreifer im schlimmsten Fall das Eindringen in das System ermöglicht haben.Eine bekannte Implementierung von DNS ist bind.

●

Nächste Seite: WWW - World Wide Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: FSP -File Service Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: GOPHER RFC 1436 Aufwärts: Schwachstellen der Internetdienste Vorherige Seite:DNS - Domain Name Inhalt Index

WWW - World Wide WebDas WWW ist verantwortlich für die immense Zunahme der Popularität des Internets. Die Anfängedes WWW liegen nunmehr 10 Jahre zurück. Vor der Einführung einer graphischenBenutzerschnittstelle für das Internet, waren die meisten Anwender Computerfreaks und Personen ausdem Universitätsumfeld. Mit der Entwicklung geeigneter Programme (Web-Browser, z.B. Netscape1994) wurde die Nutzung des Internet sehr viel einfacher und bequemer. Dadurch erweiterte sich derBenutzerkreis auf alle Personengruppen. Die steigende Anzahl der Rechner mit Internetanschluß inAbbildung 2.13 verdeutlicht dies.

Abbildung 2.13: Rechner mit Internetanschluß, Quelle:www.nw.com/zone/hosts.gif

Das WWW integriert verschiedenste Dienste in einer Benutzeroberfläche. Jeder dieser Services bringtgewisse Bedrohungen mit sich.

UnterabschnitteGOPHER RFC 1436●

WAIS - Wide Area Information Servers●

Archie●

HTTP - Hyper Text Transfer Protokoll RFC 2616●



S-HTTP - Secure Hyper Text Transfer Protokoll●

Cookies●

ActiveX●

Java●




Nächste Seite: NNTP - Network News Aufwärts: Schwachstellen der Internetdienste VorherigeSeite: Java Inhalt Index

SNMP-Protokoll - Simple Network ManagementProtokoll RFC 1157Das SNMP-Protokoll wurde zur Administration von Netzwerkkomponenten wie Router, Bridges undHubs sowie für Server und Workstations entwickelt.SNMP kann für einen Angreifer von großem Nutzen sein, da er dadurch eine große Menge annützlichen Informationen über ein Netzwerk erlangen kann. Die größte Gefahr, die von SMNPausgeht ist, daß jemand die Kontrolle über wichtige Netzwerkkomponenten erlangen könnte. Wenndies einem Angreifer gelingt, kann er SMNP nutzen, um diese Geräte dann für seine Zweckeumzukonfigurieren: Packetfilter abschalten oder neu konfigurieren, Routingtabelle ändern etc. .SNMP verwendet zur Authentisierung das sogenannte ,,Community-Konzept``: dabei wird eineZeichenkette definiert und welche Rechte diese hat. Diese Zeichenkette muß bei allen Operationenangegeben werden. Sie wird im Klartext übertragen.Gelingt es einem Angreifer, diesen String in Erfahrung zu bringen (z.B. durch Mitlesen desNetzwerktraffics), so hat er Zugriff auf die verschiedenen Netzwerkkomponenten.


SNMP-Protokoll - Simple Network Management Protokoll RFC 1157


Nächste Seite: NTP - Network Time Aufwärts: Schwachstellen der Internetdienste Vorherige Seite:SNMP-Protokoll - Simple Network Inhalt Index

NNTP - Network News Transfer Protokoll RFC 977NNTP (TCP-Port 119) dient zur Verteilung von Newsartikeln im Internet. News sindDiskussionsforen zu allen nur erdenklichen Themen. Der News-Service ist vergleichbar mit Mail, nurdaß bei News nicht an Personen, sondern an sogenannte Gruppen Mail gesendet wird.Vom Sicherheitsstandpunkt aus gilt für NNTP (wie auch bei SMTP), daß die Risiken relativ geringsind. Die eigentlichen Gefahren liegen im Inhalt der Newsartikel, da man per NNTP auchausführbaren Code übertragen kann (Viren, Trojaner). Hinzu kommt, daß ein Newssystem einmittelgroßes Softwarepaket ist, und deshalb Fehler enthalten kann, die ein Angreifer ausnutzen kann,um ein System anzugreifen.


NNTP - Network News Transfer Protokoll RFC 977


Nächste Seite: IRC - Internet Relay Aufwärts: Schwachstellen der Internetdienste Vorherige Seite:NNTP - Network News Inhalt Index

NTP - Network Time Protokoll RFC 1305NTP (UDP-Port 123) dient zur Synchronisation der Systemuhren. ,,Es ist kein demokratischesProtokoll, sondern glaubt an die Idee einer absolut korrekten Zeit, die dem Datennetz durchMaschinen mit Atomuhren oder Funkuhren, die das nationale Zeitnormal empfangen, offenbart wird``[FSI-96].Diese Maschinen werden als Primary-Time-Server bezeichnet. Rechner, die zur Synchronisationeinen Primary-Time-Server fragen, werden als Secondary-Time-Server bezeichnet. Um seineSystemuhren per NTP zu synchronisieren, kontaktiert ein Rechner einen oder mehrereSecondary-Time-Server. Dieser Rechner ist dann der Time-Server für ein LAN, den wiederum dieMaschinen im LAN nach der korrekten Zeit fragen können.

NTP ist ein beliebtes Angriffsziel, da durch Verändern der Systemzeit zeitbasierteAuthentisierungsmechanismen ausgehebelt werden können. Wenn ein Angreifer den Netzwerktrafficmitgelesen hat, kann er nach Verändern der Systemzeit zuvor erspähte Passworte nochmal verwenden.Diese Methode wird als rplay-attack bezeichnet. Doch das Verändern der Systemzeit kann nochweitere Auswirkungen haben:

In den meisten Betriebssystemen gibt es die Möglichkeit, Programme zu einer bestimmten Zeitausführen zu lassen. Unter Unix ist dieser Mechanismus als cron-job bekannt. Meist sind diesProgramme, die regelmäßig anfallende Administrationsaufgaben, wie z.B. das Rotieren oder Löschenvon Logfiles, erledigen. Wenn diese Programme nicht mehr ausgeführt werden, können dieFilesysteme überlaufen. Ein Angreifer kann aber auch durch Manipulieren der Systemzeit versuchen,seine Spuren zu verwischen.

Angriffe auf NTP erfolgen oft indirekt, d.h. auf den oder die Time-Server, von denen das Angriffszielseine Zeitangaben bezieht. Diese Server kann man durch NTP-Trace-Anfragen ausfindig machen.

Nächste Seite: IRC - Internet Relay Aufwärts: Schwachstellen der Internetdienste Vorherige Seite:NNTP - Network News Inhalt Index Klaus Bauer 1999-10-20

NTP - Network Time Protokoll RFC 1305


Nächste Seite: UUCP - Unix to Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: NTP- Network Time Inhalt Index

IRC - Internet Relay Chat RFC 1459IRC ist ein sehr beliebter Dienst im Internet. Das IRC-Protokoll ermöglicht textbasierteEchtzeitkonferenzen mit mehreren Teilnehmern. Um mit anderen Personen zu ,,chatten``, startet maneinen IRC-Clienten. Dieser baut dann eine Verbindung zu einem IRC-Server auf. Die meistenIRC-Server bieten verschiedene Kanäle an; in jedem Kanal wird über ein bestimmtes Themadiskutiert. Der Benutzer kann sich je nach Lust und Laune einen Kanal aussuchen.

IRC eignet sich hervorragend für ,,social engineering``, siehe Abschnitt 2.6. Gerade Neulinge sindimmer wieder bereit, bestimmte Kommandos, die ihnen jemand im Chat gesagt hat, auszuführen. EinAngreifer könnte sich z.B. die Passwortdatei per Mail schicken lassen. Aber auch durch einigeIRC-Befehle kann ein Hacker viele Informationen über Benutzer in Erfahrung bringen, die für weitereAngriffe hilfreich sein können.Die größte Gefahr stellen jedoch die Client- bzw. Serverprogramme selbst dar. Falsch konfigurierteClient-Programme erlauben Servern oft mehr Zugriff auf lokale Resourcen (z.B. Files) als ratsam ist.

Nächste Seite: UUCP - Unix to Aufwärts: Schwachstellen der Internetdienste Vorherige Seite: NTP- Network Time Inhalt Index Klaus Bauer 1999-10-20

IRC - Internet Relay Chat RFC 1459


Nächste Seite: X-Windows Aufwärts: Probleme und Gefahren durch Vorherige Seite: IRC -Internet Relay Inhalt Index

UUCP - Unix to Unix CopyUUCP (TCP-Port 540) wird zwischen Unix-Rechnern eingesetzt um:

Mail und News zu übertragen(UUCP ist wesentlich effizienter als NNTP)

●

Files auszutauschen●

Kommandos auf anderen Rechnern auszuführen●

UUCP ist eines der ältesten Subsysteme von Unix. Die ersten Versionen hatten eine Reihe vonSicherheitslöcher, die aber mittlerweile behoben sind. Wenn ein UUCP-System korrekt konfiguriertist, stellt es nahezu keine Gefahr für die Sicherheit eines Rechners dar.Einen Schwachpunkt hat UUCP jedoch: die Daten werden unverschlüsselt übertragen.Da UUCP kaum noch eingesetzt wird, gehe ich hier nicht weiter auf diesen Dienst ein. Für weitereInformationen zu UUCP sei auf das Buch Managing UUCP and Usenet [uucp] verwiesen.


UUCP - Unix to Unix Copy


Nächste Seite: BSD-UNIX ,,r``-Komandos Aufwärts: Probleme und Gefahren durch VorherigeSeite: UUCP - Unix to Inhalt Index

X-WindowsX ist ein populäres netzwerkbasiertes graphisches Windowsystem. X ist in der Unix Welt zumIndustriestandard geworden. Netzwerkbasiert bedeutet, daß eine Applikation auf einer Maschinegestartet wird, die Ein- und Ausgaben aber auf einer anderen Maschine im Netz erfolgen können.Diese Eigenschaft von X ist besonders interessant, wenn man rechenintensive Anwendungen hat, daman diese dann auf einer leistungsstarken Workstation laufen lassen kann und die Ein- und Ausgabenauf die Maschine schicken kann, an der man gerade arbeitet. X-Windows nutzt TCP/IP (Ports

6000) zur Kommunikation. Das X-System besteht aus zwei Hauptkomponenten: xlib und demX-Server-Programm. Der X-Server kontrolliert die I/O-Geräte (Bildschirm, Tastatur, Maus). Dasxlib-Modul wird von den Applikationen (X-Clienten) zur Kommunikation mit dem X-Serververwendet.X-Anwendungen haben eine Reihe von Möglichkeiten: sie können z.B. die Tastatur abfragen,Bildschirminhalte auslesen oder sogar für andere Applikationen Tastatureingaben erzeugen (fallsdiese das zulassen). Die Netzwerkfähigkeit von X macht es einerseits zu einem sehr mächtigenWerkzeug, andererseits ergeben sich daraus eine Reihe von Sicherheitsrisiken.

Wenn auf einer Maschine ein ungeschützer X-Server läuft, kann jeder Internetbenutzer mit demServer eine Verbindung herstellen. Wenn dies gelingt, können Tastatureingaben oder derBildschirminhalt mitgelesen werden. Dadurch kann ein Angreifer in den Besitz von Passwörtern undLoginnamen gelangen.

Da das X-Windowsystem ein umfangreiches Softwarepaket ist, wurden immer wieder Fehler ineinzelen Komponenten gefunden, die eine Gefährdung für die Sicherheit eines Systems darstellten. In[CA-97.11] ist ein Buffer-Overflow in der Xt-Programmbibliothek, die bei fast allen X-Systemenmitgeliefert wird, beschrieben. Aber auch in X-Applikationen wurden Fehler gefunden, die einAngreifer ausnutzen konnte, um Superuserrechte zu erlangen. Eine unter Unix sehr wichtigeAnwendung xterm konnte dazu benutzt werden, Root zu werden (siehe [CA-93.17]).

X hat zwar Schutzmeachnismen, die den Zugriff auf einen X-Server einschränken, da die Daten aberim Klartext übertragen werden, kann ein Angreifer, der den Netzwerktraffic mitliest, dieseMechanismen leicht umgehen.

Nächste Seite: BSD-UNIX ,,r``-Komandos Aufwärts: Probleme und Gefahren durch VorherigeSeite: UUCP - Unix to Inhalt Index Klaus Bauer 1999-10-20

X-Windows


Nächste Seite: LPD - Printerdaemon Aufwärts: Probleme und Gefahren durch Vorherige Seite:X-Windows Inhalt Index

BSD-UNIX ,,r``-KomandosDie sogenannten ,,r-Kommandos`` sind in der Unix Welt weitverbreitet, da sie das Arbeiten in derNetzwerkumgebung erleichtern. Die r-Befehle verlassen sich zur Authentisierung auf das ,,TrustedHost``-Konzept. Dieses beruht auf einer Kombination aus Benutzername und Hostname. Ein Userkann bei allen Maschinen, auf denen er einen Account hat, ein File anlegen, in das er solcheKombinationen einträgt. Dieses File heißt meistens .rhosts. Daneben gibt es noch ein File dassystemweit vertrauenswürdige Maschinen enthält: /etc/hosts.equiv 2.12 .

Wenn ein User auf einer Maschine ein .rhosts-File mit folgendem Inhalt angelegt hat: bar.com foo,dann kann er von dem Rechner bar.com als User foo auf die Maschine, die das .rhosts-Filegespeichert hat, mit den ,,r``-Kommandos zugreifen. Um den Rechnernamen zu überprüfen machtdie Zielmaschine eine Name-Server Anfrage und vergleicht dann, ob Name und IP-Adresse desQuellsystems übereinstimmen.

In Tabelle 2.6 sind die ,,r-Befehle`` und ihre Funktionen aufgelistet.

Tabelle 2.6: Die r-Befehle

Kommando Funktion

rlogin einloggen auf einem anderen Rechner

rcpermöglicht das Kopieren einer Datei von einemRechner auf einen anderen, rcp basiert auf rsh

rshermöglicht das Ausführen von Kommandos aufeinem anderen Rechner ohne sich einloggen zumüssen

Die .rhosts und hosts.equiv Dateien sind beliebte Angriffsziele. Gelingt es einem Angreifer, in diesenFiles entsprechende Einträge vorzunehmen, kann er sich ohne Passwort auf andere Rechnereinloggen. Da die Einträge in .rhost-Dateien transitiv sind, hat ein Hacker möglicherweise Zugriff aufmehrerer Rechner im LAN. Abbildung 2.14 verdeutlicht diesen Zusammenhang.

BSD-UNIX ,,r``-Komandos


Abbildung 2.14: Auswirkungen von .rhosts-Einträgen

Zusammenfassend haben die ,,r``-Befehle folgende Sicherheitsmängel:

Einträge in .rhosts-FilesDurch unvorsichtige Einträge in den .rhosts-Files können unter Umständen mehr BenutzerZugang erhalten als gewollt.

●

DNS-AngriffDurch Manipulation des Name-Servers kann es einem Hacker gelingen, sich mit seinem Systemals Trusted Host auszugeben.

●

Island-hoppingDa die Einträge in den .rhosts-Files transitiv sind, kann ein Angreifer durch rlogin oder rsh voneinem Rechner zum nächsten gelangen. Dies wird als island-hopping bezeichnet.

●

Nächste Seite: LPD - Printerdaemon Aufwärts: Probleme und Gefahren durch Vorherige Seite:X-Windows Inhalt Index Klaus Bauer 1999-10-20

BSD-UNIX ,,r``-Komandos


Nächste Seite: Fingerd - fingerdaemon RFC Aufwärts: Probleme und Gefahren durch VorherigeSeite: BSD-UNIX ,,r``-Komandos Inhalt Index

LPD - PrinterdaemonDer Line-Printer-Spooler-Daemon ermöglicht remote-drucken, d.h. Rechner können über dasNetzwerk auf einen Drucker zugreiffen. Dies ist in LANs sehr sinnvoll, da man ja nicht für jedenRechner einen Drucker anschaffen möchte, aber es gibt keinen Grund, diesen Dienst über das Internetanzubieten. Aus diesem Grund werde ich hier nicht weiter auf LPD eingehen.


LPD - Printerdaemon


Nächste Seite: Schutzmaßnahmen Aufwärts: Probleme und Gefahren durch Vorherige Seite: LPD -Printerdaemon Inhalt Index

Fingerd - fingerdaemon RFC 1196Der fingerdaemon implementiert ein einfaches Protokoll, das eine Schnittstelle für Programme zurAusgabe von Benutzerinformationen bereitstellt.Unter Unix kann man mit dem Programm finger verschiedene Userinformationen, wie z.B. denvollständigen Namen, die EMail-Adresse oder wann der User sich zum letzten Mal eingeloggt hat, inErfahrung bringen. Unglücklicherweise erleichtert dieser Dienst einem Angreifer die Erforschungeines potentiellen Ziels ganz erheblich. Durch die Informationen Name, Vorname erhält man bereitseinen guten Anhaltspunkt zum Erraten des Passwortes der betreffenden Person. Die Auskünfte desfinger-Services eignen sich auch bestens für ,,social engineering``-Attacken, siehe Abschnitt 2.6.


Fingerd - fingerdaemon RFC 1196


Nächste Seite: Maßnahmen zum Schutz vor Aufwärts: dip Vorherige Seite: Fingerd - fingerdaemonRFC Inhalt Index

Schutzmaßnahmen

UnterabschnitteMaßnahmen zum Schutz vor den Gefahren durch das Internet


Anforderungen■

Zielsetzung■

Risikoanalyse■




❍

Firewalls

Funktionsprinzip

Leistungsgrenzen von Firewalls■

■



Firewall-Architekturen

Dual-Homed Host Architektur■

Screened Host Architektur■

Screened Subnet Architektur■

Mischformen■

Aufbau eines Bastion Host■

■

IP-Protokoll■

ICMP-Protokoll■

TCP-Protokoll■

UDP-Protokoll■

ARP-Protokoll■

Routing Protokolle

RIP-Protokoll■

OSFP-Protokoll■

■

❍

●

Schutzmaßnahmen


BGP-Protokoll■

RPC-Dienste

NFS■

NIS■

■

EMail

SMTP-Protokoll■

MIME-Extensions■

POP-Protokoll■

■

TELNET■

Dateitransfer

TFTP■

FTP■

FSP■

■

DNS■

World Wide Web (WWW)

Gopher■

WAIS■

■

Archie

HTTP■

S-HTTP■

Cookies■

ActiveX■

Java■

■

SNMP■

NNTP■

NTP■

IRC■

UUCP■

X-Windows■


LPD■

Fingerd■

Authentisierung

Einmal-Paßworte■

❍

Kryptographie❍

Schutzmaßnahmen


Intrusion Detection Systeme (IDS)❍

Angriffssimulatoren❍

Schutz vor Viren❍

Schutz vor Angriffen von innen❍

Trends und zukünftige Entwicklungen❍

Praxisteil: Entwicklung und Realisation eines Firewallkonzeptes zur Anbindung eines LAN andas Internet

Sicherheitskonzept

Zielsetzung■

Risikoanalyse■


■

❍

Auswahl des Betriebssystems❍


Bastion Host■

Router■

❍

Firewall-Architektur❍

Konfiguration des Routers❍


Installation des Betriebssystems

Installierte Komponenten■

■

Konfiguration des Betriebsystems

Konfiguration des DNS-Systems■

Konfiguration des Mail-Systems■

Konfiguration des Webserver■

Konfiguration des HTTP-Proxy■

Konfiguration von SSH■

Konfiguration von Tripwire■

■

❍

●

Schluß

Ausblick❍

Schlußbemerkung❍

●


Schutzmaßnahmen


Nächste Seite: Erstellung eines Netzwerksicherheitskonzeptes Aufwärts: SchutzmaßnahmenVorherige Seite: Schutzmaßnahmen Inhalt Index

Maßnahmen zum Schutz vor denGefahren durch das InternetDie Grundlage zur Planung und Implementierung eines Sicherheitskonzeptes ist die Formulierung vonUnternehmensrichtlinien, die den Umgang mit Firmendaten spezifizieren.In ihnen werden die Anforderungen des Unternehmens an den ordnungsgemäßen Umgang mitFirmeninformationen dargestellt. Ebenso werden entsprechende Verfahren zur Verhinderung vonVerstößen gegen diese Vorschriften und Maßnahmen als Reaktion auf Verletztungen der Richtliniendefiniert. Voraussetzung für diese Sicherheitsregeln ist, daß sie nicht gegen geltendes Recht oderbereits bestehende Unternehmensrichtlinien verstoßen.Zu einem umfassenden Sicherheitskonzept gehören auch allgemeine Schutzmaßnahmen, z.B.Vorkehrungen gegen Einbruch und Feuer oder Zugangskontrollen. Derartige Maßnahmen werden indieser Arbeit nicht weiter betrachtet.

UnterabschnitteErstellung eines Netzwerksicherheitskonzeptes

Anforderungen❍

Zielsetzung❍

Risikoanalyse❍

Formulierung von Sicherheitsrichtlinien❍

Erstellung eins Implementationsplans❍

Einführung eines Sicherheitsprozesses❍

●

Firewalls

Funktionsprinzip

Leistungsgrenzen von Firewalls■

❍

Definitionen und Begriffe❍

Arten von Firewalls❍


Dual-Homed Host Architektur■

Screened Host Architektur■

Screened Subnet Architektur■

Mischformen■

❍

●



Aufbau eines Bastion Host■

IP-Protokoll❍

ICMP-Protokoll❍

TCP-Protokoll❍

UDP-Protokoll❍

ARP-Protokoll❍

Routing Protokolle

RIP-Protokoll■

OSFP-Protokoll■

BGP-Protokoll■

❍

RPC-Dienste

NFS■

NIS■

❍

EMail

SMTP-Protokoll■

MIME-Extensions■

POP-Protokoll■

❍

TELNET❍

Dateitransfer

TFTP■

FTP■

FSP■

❍

DNS❍


Gopher■

WAIS■

❍

Archie

HTTP■

S-HTTP■

Cookies■

ActiveX■

Java■

❍

SNMP❍

NNTP❍

NTP❍



IRC❍

UUCP❍

X-Windows❍

Die ,,r``-Kommandos❍

LPD❍

Fingerd❍

Authentisierung

Einmal-Paßworte❍

●

Kryptographie●

Intrusion Detection Systeme (IDS)●

Angriffssimulatoren●

Schutz vor Viren●

Schutz vor Angriffen von innen●

Trends und zukünftige Entwicklungen●




Nächste Seite: Anforderungen Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite:Maßnahmen zum Schutz vor Inhalt Index

Erstellung einesNetzwerksicherheitskonzeptesZur Formulierung eines Netzwerksicherheitskonzeptes müssen vorher die Anforderungen an dasComputersystem festgelegt werden.

UnterabschnitteAnforderungen●

Zielsetzung●

Risikoanalyse●

Formulierung von Sicherheitsrichtlinien●

Erstellung eins Implementationsplans●

Einführung eines Sicherheitsprozesses●




Nächste Seite: Zielsetzung Aufwärts: Erstellung eines Netzwerksicherheitskonzeptes VorherigeSeite: Erstellung eines Netzwerksicherheitskonzeptes Inhalt Index

AnforderungenAn Daten- und Informationssysteme werden allgemein folgende Anforderungen gestellt:

VertraulichkeitDie Daten sind vor Zugriffen unberechtigter Personen zu schützen.

●

IntegritätUnter Einhaltung der Integrität von Daten wird die Sicherung gegen Manipulationenverstanden.

●

VerfügbarkeitDer Zugang zu Informationen und Kommunikationsdiensten muß für berechtigte Personenimmer möglich sein.

●

Dies sind die Grundforderungen an die Sicherheit von Informationssystemen. In der englischenLiteratur wird für diese Anforderungen häufig die Abkürzung CIA (confidentiality, integrity,availability) verwendet.Zu diesen Grundforderungen kommen noch vier weitere wichtige Anforderungen hinzu:

AuthentifikationEin Benutzer muß seine Identität eindeutig beweisen, um bestimmte Dienste oder Daten nutzenzu können.

●

ZugriffskontrolleNur berechtigte (authorisierte) Personen dürfen auf die ihnen zugeordneten Ressourcen Zugrifferlangen.

●

VerbindlichkeitDa das Internet immer mehr für kommerzielle Anwendungen, wie z.B. Internetshops (onlineBestellungen) genutzt wird, müssen Vorkehrungen getroffen werden, die es einem Händlerermöglichen dem Käufer nachzuweisen, daß nur er und kein anderer eine Bestellung in Auftraggegeben hat. Der umgekehrte Nachweis, daß eine Bestellung beim Händler wirklicheingegangen ist, muß ebenfalls sichergestellt werden. ,,Verbindlichkeit muß demnachMöglichkeiten zur Anerkennung der Übermittlung (Empfängernachweis) und zur Anerkennungdes Ursprungs (Urhebernachweis) der Informationen schaffen. Daraus leitet sich die Forderungnach Verfahren ab, die einen zweifelsfreien Zusammenhang zwischen den übertragenen Datenund der Person herstellen, die diese gesendet bzw. empfangen hat.``[SKI]

●

AnonymitätAus Datenschutzgründen sind Verfahren notwendig die bei Bedarf in der Lage sind dieAnonymität einer Person zu gewährleisten.

●

Nächste Seite: Zielsetzung Aufwärts: Erstellung eines Netzwerksicherheitskonzeptes Vorherige

Anforderungen


Seite: Erstellung eines Netzwerksicherheitskonzeptes Inhalt Index Klaus Bauer 1999-10-20

Anforderungen


Nächste Seite: Risikoanalyse Aufwärts: Erstellung eines Netzwerksicherheitskonzeptes VorherigeSeite: Anforderungen Inhalt Index

ZielsetzungDer nächste Schritt in Richtung Netzwerksicherheitskonzept ist die Formulierung präziserZielvorgaben.Ausgangspunkt zur Spezifizierung der Ziele ist eine allgemeine Definition von Funktion und Aufgabeder Datennetze und Computersysteme. Dann werden die gewünschten Dienste (EMail, FTP, HTTPusw.) festgelegt. Als nächstes sind die zuerfüllenden Sicherheitsanforderungen festzulegen. DieZielsetzungen hängen stark von individuellen Gegebenheiten in den jeweiligen Unternehmen ab. EineBank stellt wesentlich höhere Ansprüche an die oben genannten Anforderungen zur Sicherheit vonInformationssystemen als ein kleiner Handwerksbetrieb.


Zielsetzung


Nächste Seite: Formulierung von Sicherheitsrichtlinien Aufwärts: Erstellung einesNetzwerksicherheitskonzeptes Vorherige Seite: Zielsetzung Inhalt Index

RisikoanalyseDie Risikoanalyse liefert weitere wichtige Ergebnisse zur Gestaltung eines Sicherheitskonzeptes.Grundsätzlich gibt es zwei Methoden der Risikoanalyse:

GrundschutzansatzDer Grundschutzansatz ist für Systeme mit geringem Schutzbedarf die geeignete Wahl. Dabeiwerden auf der Basis anerkannter Industriestandards empfohlene Schutzmaßnahmenvorgenommen. Dazu kann das IT-Grundschutzbuch vom Bundesamt für Sicherheit in derInformationstechnik (BSI) zur Hilfe genommen werden. 3.1

1.

Detaillierte RisikoanalyseFür Systeme mit einem hohen Sicherheitsanspruch muß eine detaillierte Risikoanalysevorgenommen werden.Dabei sind folgende Abschätzungen zu treffen:

Was wird geschützt?❍

Vor wem wird es geschützt?❍

Wie gut wird es geschützt?❍

Die Ergebnisse dieser Abschätzungen stellen die Grundlage für eine funktionelle undökonomisch sinvolle Sicherheitsarchitektur dar.Als Grundregel sollte dabei beachtet werden, daß der Aufwand für den Schutz eines Systemsdessen Wert nicht übersteigen sollte.[SiI] Um nun ein Maß zur Schwachstellenbewertung zuerhalten wird jedem identifizierten Schwachpunkt eine Schadenshöhe (S) zugeordnet und eineEintrittswahrscheindlichkeit (E). Daraus läßt sich dann die Höhe des Risikos ermitteln, dasbeispielsweise der Einsatz eines bestimmten Dienstes mit sich bringt:

Risiko S E .

2.

Zur Verdeutlichung ein Beispiel:Die Wahrscheindlichkeit, daß ein Host durch einen Angrif aus dem Internet lahmgelegt wird beträgt0.125/Jahr (1x in 8 Jahren). Der Schaden, der durch den Ausfall des Rechners entsteht, wird auf10.000 DM geschätzt. Daraus ergibt sich ein Risiko3.2 von:

10.000 DM * 0.125/Jahr = 1250 DM/Jahr

Nächste Seite: Formulierung von Sicherheitsrichtlinien Aufwärts: Erstellung einesNetzwerksicherheitskonzeptes Vorherige Seite: Zielsetzung Inhalt Index Klaus Bauer 1999-10-20

Risikoanalyse


Nächste Seite: Erstellung eins Implementationsplans Aufwärts: Erstellung einesNetzwerksicherheitskonzeptes Vorherige Seite: Risikoanalyse Inhalt Index

Formulierung von SicherheitsrichtlinienDie in der Risikoanalyse ermittelten Sicherheitslücken müssen nun durch geeignete Maßnahmengeschlossen werden. Ist dies nicht möglich, muß man an Hand der Risikobewertung abwägen, ob manden entsprechenden Dienst trotzdem zulassen möchte oder ob er aus der Zielsetzung gestrichenwerden soll.Die Ergebnisse der Risikoanalyse dienen als Grundlage zur Formulierung von Sicherheitsrichtlinienfür:

Personen,●

allgemeine Nutzungsbestimmungen für EDV-Systeme,●

Systemverwalter,●

Hardware,●

Software,●

vertrauliche Daten,●

externe Datenverbindungen●

und den Internetzugang.●


Formulierung von Sicherheitsrichtlinien


Nächste Seite: Einführung eines Sicherheitsprozesses Aufwärts: Erstellung einesNetzwerksicherheitskonzeptes Vorherige Seite: Formulierung von Sicherheitsrichtlinien Inhalt Index

Erstellung eins ImplementationsplansAusgehend von den bereits vorhandenen Komponenten der EDV-Struktur wird nun versucht für jedender geforderten Dienste eine technische Lösung zu finden, die es ermöglicht diesen Dienst ohneRisiko für die Sicherheit des Firmennetzwerkes anzubieten.,,Aus der Gesamtheit der technischen Lösungen kann schließlich eine geeignete Firewall-Architekturausgewählt und eine detaillierte Spezifikation für die Sicherheitsarchitektur entwickelt werden. Aufder Grundlage dieser Spezifikation wird die Produktauswahl für die Realisierung des geplantenSicherheitssystems getroffen und nach einer Risikoanalyse der Firewall-Konfiguration(Kosten/Risiko-Abschätzung) schließlich der endgültige Aufbau des Schutzsystems festgelegt.`` [SiI]


Erstellung eins Implementationsplans


Nächste Seite: Firewalls Aufwärts: Erstellung eines Netzwerksicherheitskonzeptes Vorherige Seite:Erstellung eins Implementationsplans Inhalt Index

Einführung eines SicherheitsprozessesNetzwerksicherheit ist keine einmalige Aktion, da ständig neue Anwendungen und Angriffsmethodenentwickelt werden. Es ist deshalb ratsam, das Sicherheitskonzept und die Schutzmaßnahmen regelmäßig zuüberprüfen.Abbildung 3.1 zeigt einen möglichen Ablauf für einen zyklischen Sicherheitsprozeß.

Abbildung 3.1: Sicherheitsprozß

Einführung eines Sicherheitsprozesses



Einführung eines Sicherheitsprozesses


Nächste Seite: Funktionsprinzip Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite:Einführung eines Sicherheitsprozesses Inhalt Index

Firewalls

UnterabschnitteFunktionsprinzip

Leistungsgrenzen von Firewalls❍

●

Definitionen und Begriffe●

Arten von Firewalls●


Dual-Homed Host Architektur❍

Screened Host Architektur❍

Screened Subnet Architektur❍

Mischformen❍

Aufbau eines Bastion Host❍

●

IP-Protokoll●

ICMP-Protokoll●

TCP-Protokoll●

UDP-Protokoll●

ARP-Protokoll●

Routing Protokolle

RIP-Protokoll❍

OSFP-Protokoll❍

BGP-Protokoll❍

●

RPC-Dienste

NFS❍

NIS❍

●

EMail

SMTP-Protokoll❍

MIME-Extensions❍

●

Firewalls


POP-Protokoll❍

TELNET●

Dateitransfer

TFTP❍

FTP❍

FSP❍

●

DNS●


Gopher❍

WAIS❍

●

Archie

HTTP❍

S-HTTP❍

Cookies❍

ActiveX❍

Java❍

●

SNMP●

NNTP●

NTP●

IRC●

UUCP●

X-Windows●

Die ,,r``-Kommandos●

LPD●

Fingerd●


Firewalls


Nächste Seite: Leistungsgrenzen von Firewalls Aufwärts: Firewalls Vorherige Seite: Firewalls Inhalt Index

FunktionsprinzipEine Firewall setzt sich normalerweise aus mehreren Komponenten zusammen und hat die Aufgabe denZugriff zwischen LAN und Internet zu kontrollieren (siehe Abbildung 3.2).

Abbildung 3.2: Eine Firewall trennt das LAN vom Internet

,,Filter`` (auch ,,Screens`` genannt) lassen nur ganz nur bestimmten Datenverkehr durch und blockierenden restlichen. Ein Gateway besteht aus einer oder mehreren Maschinen, die als Relais für bestimmtedurch Filter blockierte Dienste dienen. Das Datennetzsegment, in dem sich der Gateway befindet, wirdauch als demilitarisierte Zone (DMZ) bezeichnet. [FSI-96]

UnterabschnitteLeistungsgrenzen von Firewalls●


Funktionsprinzip


Nächste Seite: Arten von Firewalls Aufwärts: Firewalls Vorherige Seite: Leistungsgrenzen vonFirewalls Inhalt Index

Definitionen und BegriffeNachfolgend werden die wichtigsten Begriffe und ihre Bedeutungen aufgeführt, die imZusammenhang mit Firewalls oft verwendet werden. Die Angaben wurden aus [BIF-96] entnommen.

FirewallEine Firewall besteht aus einer oder mehreren Komponenten, die den Zugang zwischen einemLAN und dem Internet (oder einem anderen Netz) überwachen bzw. einschränken.

●

HostComputer der an ein Netzwerk angeschlossen ist.

●

Bastion HostBesonders gut geschütztes Computersystem, da es eine Verbindung zum Internet hat unddeshalb von außen angreifbar ist. Die internen Benutzer greifen in der Regel über dieses Systemauf das Internet zu.

●

Dual-homed hostEin Host mit mindestens zwei Netzschnittstellen (,,homes``).

●

Packet FilteringProzeß zur Kontrolle des Datenflußes zu und von einem Netzwerk. Dabei werden basierend aufFilterregeln Pakete akzeptiert oder blockiert. Manchmal wird dafür auch der Begriff,,Screening`` verwendet.

●

Perimeter Network (Grenznetz)Netz, das als zusätzliche Schutzschicht zwischen ein geschütztes LAN und einem externen Netzeingefügt wird. ,,Demilitarisierte Zone`` (DMZ) ist ein anderer oft verwendeter Ausdruck für,,Perimeter Network``.

●

Proxy serverEin Programm, das im Auftrag von internen Client-Programmen mit externen Servernkommuniziert.

●

Interior router (Innerer Router)Der innere Router (manchmal auch ,,Choke router`` genannt) schützt das interne Netzwerk vorder DMZ und vor dem Internet. Der innere Router wird also zwischen dem internen LAN undder DMZ eingefügt.

●

Exterior router (Äusserer Router)Der äussere Router (manchmal auch ,,Access router`` genannt) schützt die DMZ und dasinterne Netz vor dem Internet. Meistens stellt der ISP (Internet Service Provider) diesen Routerbereit. Für den Fall, daß ein hohes Maß an Sicherheit verlangt wird, sollte der äussere Routerein firmeninternes Gerät sein. Seine Hauptaufgabe ist dann die Blockade von Paketen mitgefälschten IP-Source-Adressen.

●



Nächste Seite: Arten von Firewalls Aufwärts: Firewalls Vorherige Seite: Leistungsgrenzen vonFirewalls Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Firewall-Architekturen Aufwärts: Firewalls Vorherige Seite: Definitionen undBegriffe Inhalt Index

Arten von FirewallsEs gibt drei Hauptkategorien von Firewalls: Paketfilter, Vermittler- oder Transportschicht-Gateway(Circuit Gateway) und Anwendungsschicht-Gateway (Application Gateway). [FSI-96]

1.

Paketfilter

1.1

Statische PaketfilterEin Paketfilter-System kontrolliert den Datenverkehr zwischen internen und externen Hosts.Dabei werden Pakete basierend auf den Filterregeln, die durch das Netzwerksicherheitskonzeptvorgegeben sind, blockiert oder zugelassen.Paketfilter nutzen folgende IP-Header Informationen zur Entscheidung, ob ein Paket zulässig istoder nicht:

IP-Quelladresse❍

IP-Zieladresse❍

Protokoll (TCP, UDP oder ICMP)❍

TCP- oder UDP-Quellport❍

TCP-oder UDP-Zielport❍

ICMP-Nachrichtentyp❍

Zusätzlich verfügen Router noch über nützliche Informationen zur Filterung von Paketen, dienicht aus dem Header hervorgehen:

das Interface, auf dem das Paket ankam,❍

das Interface, auf dem das Paket verschickt werden soll.❍

1.2

Dynamische oder kontextabhängige PaketfilterDynamische Paketfilter können zusätzlich zur Filterungsfähigkeit auf IP- und TCP-EbeneKontext speichern. Diese Fähigkeit wird auch als stateful packetfiltering bezeichnet. Da UDPkein ACK-Bit besitzt, kann ein statischer Paketfilter nicht anhand des Headers des UDP-Paketeserkennen, ob es sich um das erste Paket von einem externen Client an einen internen Serverhandelt, oder um die Antworten von einem externen Server an einen internen Client. DynamischePaketfilter speichern nach außen gesendete UDP-Pakete. Dadurch besteht für sie die Möglichkeit,nur erwartete Antworten durch den Filtermechanismus passieren zu lassen. Für sie gelten nurdiejenigen Pakete als akzeptable Antwort, die von demselben Rechner und demselben Portkommen, an die die Anfrage ursprünglich gerichtet wurde und deren Ziel derselbe Rechner undPort sind, von denen die Anfrage ausging. Der dynamische Paketfilter speichert also denSocket3.3 eines gesendeten Paketes und überprüft ein ankommendes Paket, ob Zieladresse undZielport dieses Sockets mit der Quelladresse und dem Quellport eines Sockets übereinstimmen,

Arten von Firewalls


das er zuvor gespeichert hat. Ebenso müssen Quelladresse und Quellport des ankommendenPaketes mit Zieladresse und Zielport eines zuvor gesendeten Paketes übereinstimmen. Da sichdadurch die Paketfilterregeln dynamisch änderen, wird diese Art von Paketfilter als dynamischbezeichnet. [fwstud]

2.

Proxy

Proxy-Server erhöhen die Sicherheit bei der Nutzung von Internetdiensten dadurch, daß sie alsMittler zwischen internen Hosts (im LAN) und externen Hosts (im Internet) auftreten.Interne Hosts, die eine Verbindung nach außen aufbauen möchten kontaktieren denProxy-Server. Dieser prüft zunächst, ob die Verbindung zuläßig ist oder nicht und bautanschließend die Verbindung zu dem eigentlichen Ziel im Internet stellvertretend für den Clientauf oder gibt eine Fehlermeldung an den Client zurück. Abbildung 3.3 veranschaulicht dasPrinzip von Proxy Verbindungen.

Abbildung 3.3: Prinzip von Proxy-Verbindungen, Quelle: [BIF-96] S. 62

2.1

Circuit Gateway (Circuit-Proxy)

Circuit Gateways oder Transportschicht-Gateways arbeiten auf der Transportschicht imTCP/IP-Stack (siehe Abbildung 2.2). Sie vermitteln als Relais TCP-Verbindungen. Eineexterne Verbindung geht auf einem TCP-Port des Gateway ein, dieser kontaktiert dann eininternes Ziel. Während die Verbindung besteht, kopiert das Gateway die Daten zwischenden Schnittstellen um. Das Gateway spielt ,,Draht`` oder ,,Funkrelais``.[FSI-96]Circuit Gateways kontrollieren den Datenverkehr ähnlich wie Paketfilter nur an Hand von

Arten von Firewalls


Source- und Destinationadressen bzw. Source- und Destinationport. Sie sind nicht in derLage den Inhalt von Datenpakten zu kontrollieren, da Transportschicht-Gateways dasAnwendungsprotokoll (FTP, SMTP, TELNET usw.) nicht interpretieren können. Dies istauch der Grund dafür, daß Standard-Clientprogramme nicht mit Circuit-Gatewayszusammenarbeiten. Man muß sie entsprechend modifizieren. Weitere Nachteile vonTransportschicht-Gateways sind, daß sie sehr wenig Kontrollmöglichkeiten zur Analysedes Datenverkehrs bieten und daß die meisten Loginginformationen auf der Seite desClients protokolliert werden und damit nur schwierig zentral auswertbar sind. Dafür sindsie für fast alle Protokolle verfügbar.Ein bekanntes und weitverbreitetes Softwarepaket, das Transportschicht- Gatewaysimplementiert ist SOCKS. Man findet es im Internet unterftp://ftp.nec.com/pub/security/socks.cstc/ oder unterftp://coast.cs.purdue.edu/pub/tools/unix/socks/. UmStandard-Clients mit SOCKS verwenden zu können, müssen diese mit der mitgeliefertenSOCKS-Library neu kompiliert werden.

2.2

Application Gateway (Applikation-Proxy)

Applikation Gateways arbeiten auf der Anwendungsschicht im TCP/IP-Protokollstack(siehe Abb 2.2). Sie sind in der Lage das jeweilige Protokoll zu interpretieren und könnendeshalb mit unveränderter Client-Software verwendet werden. Eine weitere positiveEigenschaft ist, daß der gesamte ein- und abgehende Verkehr kontrolliert und protokolliertwerden kann. Dadurch ist eine zentrale Auswertung der Logdaten möglich. DerHauptnachteil von Anwendungsschicht-Gateways liegt darin, daß für die meistenangebotenen Dienste spezielle Benutzeroberflächen oder -programme bereitgestellt werdenmüssen. [FSI-96]Das TIS Firewall Toolkit der Firma ,,Trusted Information Systems`` ist einSoftwarepaket, das leistungsfähige Application-Gateway-Programme bereitstellt. Derzeitist das Toolkit für nichtkommerzielle Anwendungen frei verfügbar und kann unterhttp://www.tis.com/research/software/ im Internet heruntergeladenwerden.

2.3

Application Gateway vs. Circuit GatewayDie Nachfolgenden Punkte stammen aus [SiI].

Vorteile

Circuit Gateway Application Gateway

Erfordert wenigRechenleistung

Einsatz mit unveränderterClient-Software

Für sehr vieleProtokolleverfügbar

Detaillierte Überwachungvon Verbindungen

UmfangreicheLogging-Funktionalitäten

■

Arten von Firewalls


ftp://ftp.nec.com/pub/security/socks.cstc/

ftp://coast.cs.purdue.edu/pub/tools/unix/socks/

http://www.tis.com/research/software/

Nachteile

Circuit GatewayApplicationGateway

Erfordert modifizierteClient-Software

Erfordert mehrRechenleistung

EingeschränkteLogging-Funktionalität

Schwieriger zuinstallieren

EingeschränkteBenutzer-Authentifikation

■

3.

NAT - Network Address Translation RFC 1631NAT wurde ursprünglich entwickelt um der zunehmenden Knappheit an verfügbarenIP-Adressen entgegenzuwirken. Der NAT-Mechanismus erlaubt es ein ganzes(!) Netzwerk mitnur einer einzigen IP-Adresse an das Internet anzuschließen. Im Prinzip macht NAT nichtsanderes als interne IP-Adressen in die externe IP-Adresse umzusetzen und umgekehrt. Alsinterne IP-Adressen werden dabei Adressen aus den Bereichen ausgewählt, die nie im Internetverwendet werden dürfen, da sie für private IP-Netze reserviert sind. Diese privatenIP-Adressbereiche sind in RFC 1597 wie folgt definiert worden:

10.0.0.0 - 10.255.255.255172.16.0.0 - 172.31.255.255192.168.0.0 - 192.168.255.255

Durch den Einsatz von NAT kann man die interne Struktur (IP-Adressen, Hostnamen usw.) einesLAN vor der Außenwelt verstecken. NAT wird auch als ip-masquarading oder ip-aliasingbezeichnet.

Nächste Seite: Firewall-Architekturen Aufwärts: Firewalls Vorherige Seite: Definitionen undBegriffe Inhalt Index Klaus Bauer 1999-10-20

Arten von Firewalls


Nächste Seite: Dual-Homed Host Architektur Aufwärts: Firewalls Vorherige Seite: Arten vonFirewalls Inhalt Index

Firewall-ArchitekturenEs gibt verschiedene Möglichkeiten eine Firewall aufzubauen. Welche Architektur die geeignete ist,hängt von den Anforderungen, die im Netzwerksicherheitskonzept formuliert wurden, ab. Grundlagedieses Abschnitts ist [BIF-96] Kapitel 4.

UnterabschnitteDual-Homed Host Architektur●

Screened Host Architektur●

Screened Subnet Architektur●

Mischformen●

Aufbau eines Bastion Host●




Nächste Seite: ICMP-Protokoll Aufwärts: Firewalls Vorherige Seite: Aufbau eines Bastion Host Inhalt Index

IP-ProtokollZum Schutz vor verschiedenen Angriffen auf IP-Ebene eignen sich Paketfilter. Um sich vor deneinzelnen Angriffen zu schützen müssen folgende Regeln durch einen Paketfilter implementiertwerden:

IP-SpoofingAblehnen externer Pakete mit internen Source-IP-Adressen und umgekehrt, also interne Paketedie keine interne Source-IP haben.

●

Ablehnen von Paketen mit aktivierter IP-Source-Routing Option●

Fragment-Angriff

Tiny-Fragment-AngriffPaketfilter verwenden, bei denen eine Mindestgröße für IP-Fragmente angegeben werdenkann.

❍

Overlapping-Fragment-AngriffPaketfilter verwenden, bei denen ein Minimum für den Fragment-Offset angegebenwerden kann.

❍

●

TunnelnUm Tunnel (IP over IP) kontrollieren zu können benötigt man ein Paketfiltersystem, daß seineRegeln dynamisch verändern kann.

●


IP-Protokoll


Nächste Seite: TCP-Protokoll Aufwärts: Firewalls Vorherige Seite: IP-Protokoll Inhalt Index

ICMP-ProtokollDa ICMP-Meldungen zur Steuerung von IP-Verbindungen benötigt werden, sollten sie nicht generellabgelehnt werden. ICMP-Meldungen besitzen weder einen Source- noch einen Destinationport, abersie haben ein ICMP-Nachrichten-Type- Feld an Hand dessen man die Pakete filtern kann. Die meistenPaketfilter bieten die Möglichkeit ICMP-Pakete zu filtern.Chapman und Zwicky geben in [BIF-96] die in Tabelle 3.1 aufgelisteten Empfehlungen zum Umgangmit ICMP-Paketen.

Tabelle 3.1: Umgang mit ICMP-Meldungen, Quelle[BIF-96] S. 305

Nachrichtentyp Bedeutung Reaktion

0 Echo Reply zulassen

3 Destination Unreachable nicht zulassen

4 Source Quench zulassen

5 Redirect nicht zulassen

8 Echo Request zulassen

11 Time Exceeded zulassen

12 Parameter Problem zulassen

Vor ICMP-Angriffen schützen folgende Maßnahmen:

Denial-of-ServiceICMP-Version überprüfen, aktuelle ICMP-Implementierungen sind gegen Denial-of-ServiceAngriffe immun.

●

Ping-to-DeathAktuelle IP-Implementierungen verwenden, da diese einen Overflow korrekt abfangen.

●

RedirectRedirect-Nachrichten durch Paketfilter abweisen.

●

Nächste Seite: TCP-Protokoll Aufwärts: Firewalls Vorherige Seite: IP-Protokoll Inhalt IndexKlaus Bauer 1999-10-20

ICMP-Protokoll


Nächste Seite: UDP-Protokoll Aufwärts: Firewalls Vorherige Seite: ICMP-Protokoll Inhalt Index

TCP-ProtokollDer TCP-Sequenznummern-Angriff ist eine der gefährlichsten und wirksamesten Methoden, um aufPaketfiltertechniken basierende Firewall-Systeme zu überwinden. [SiI]Da die meisten TCP-Angriffe auf IP-Spoofing aufbauen kann man das Firmennetzwerk durch denAusschluß von IP-Spoofing vor TCP-Angriffen schützen. Im einzelnen bieten sich folgendeMaßnahmen zur Verhinderung von Angriffen durch TCP an:

Sequenznummern-AngriffTCP-Implementierung verwenden, bei der dieser Fehler beseitigt ist.

●

Tcp-Syn-FloodingDurch Verhindern von IP-Spoofing wird auch vor diesem Angriff geschützt.

●

HijackingUm sich vor Hijacking wirksam zu schützen muß die TCP-Verbindung verschlüsselt werden(end-to-end encryption).

●


TCP-Protokoll


Nächste Seite: ARP-Protokoll Aufwärts: Firewalls Vorherige Seite: TCP-Protokoll Inhalt Index

UDP-ProtokollDa UDP paketorientiert ist, werden UDP-Pakete unabhängig von einander betrachtet. Es gibt keineMöglichkeit zwischen eingehenden Verbindungsanfragen und Antworten auf ausgehendeVerbindungen zu unterscheiden.Um UDP kontrollieren zu können benötigt man dynamische Paketfilter. Solche Paketfilter,,merken`` sich von ausgehenden UDP-Paketen die Source-IP, den Source-Port, die Destination-IPund den Destination-Port. Durch Vergleichen dieser Daten mit eingehenden UDP-Paketen kann derFilter feststellen, ob es sich um ein Antwortpaket handelt oder um eine Verbindungsanfrage vonaußen.Es gibt jedoch UDP-basierte Dienste, die auf festen Portnummern kommunizieren. Diese Dienstekönnen auch mit konventionellen Paketfiltern kontrolliert werden, NTP ist z.B. so ein Dienst.


UDP-Protokoll


Nächste Seite: Routing Protokolle Aufwärts: Firewalls Vorherige Seite: UDP-Protokoll Inhalt Index

ARP-ProtokollARP arbeitet zwischen der physikalischen Schicht und der Vermittlungsschicht und verwendet somitkeine Ports. Deshalb können Paketfilter ARP nicht sinnvoll behandeln.ARP sollte auf Routern und Bastion Hosts abgeschaltet werden. Stattdessen werden statischeARP-Tabellen verwenden.


ARP-Protokoll


Nächste Seite: RIP-Protokoll Aufwärts: Firewalls Vorherige Seite: ARP-Protokoll Inhalt Index

Routing Protokolle

UnterabschnitteRIP-Protokoll●

OSFP-Protokoll●

BGP-Protokoll●


Routing Protokolle


Nächste Seite: NFS Aufwärts: Firewalls Vorherige Seite: BGP-Protokoll Inhalt Index

RPC-DiensteRPC basierte Dienste sind problematisch, da sie zufällige Portnummern einsetzen können. Eine Reihevon Diensten benutzt grundsätzlich zufällige Portnummern und verläßt sich auf einen separatenVermittlungsdienst. [FSI-96]Der portmapper ist ein solcher Vermittlungsdienst. Zwar läßt sich der Zugang zum portmapperkontrollieren, aber ein Angreifer hat dann noch immer die Möglichkeit alle Portnummernauszuprobieren und nach interessanten Applikationen zu suchen ohne den Umweg über denportmapper gehen zu müssen. Zur sicheren Kontrolle von RPC-Diensten muß man dynamischePaketfilter einsetzen.Als allgemeine Empfehlung gilt, RPC-basierte Dienste sollten nicht über das Internet verwendetwerden.

UnterabschnitteNFS●

NIS●


RPC-Dienste


Nächste Seite: SMTP-Protokoll Aufwärts: Firewalls Vorherige Seite: NIS Inhalt Index

EMailEMail ist einer der wichtigsten Dienste des Internet und wird deshalb wohl von jeder Organistation,die einen Internetanschluß plant, genutzt werden wollen. Um diesen Dienst sicher nutzen zu könnensind die nachfolgenden Punkte zu beachten.Ein großer Teil des Gefahrenpotentials liegt in Softwarefehlern der Mailserverprogramme. Besondersdas auf nahezu jedem Unix-System verfügbare Program sendmail hatte in der Vergangenheit immerwieder gravierende Sicherheitslücken. Bei der Auswahl des oder der Mailprogramme ist darauf zuachten, daß die neueste Version installiert wird. Damit ist man vor den bis dahin bekanntenSicherheitslücken geschützt. Die Gefahren, die von den Inhalten der Mails ausgehen, sind separat zubehandeln.

UnterabschnitteSMTP-Protokoll●

MIME-Extensions●

POP-Protokoll●


EMail


Nächste Seite: Dateitransfer Aufwärts: Firewalls Vorherige Seite: POP-Protokoll Inhalt Index

TELNETTelnet nutzt TCP als Transportprotokoll. Telnet-Server benutzen standardmäßig TCP-Port 23. Die Client-Programmeverwenden TCP-Ports 1023. Telnet kann mit den in Tabelle 3.5 stehenden Regeln durch Paketfilter kontrolliert werden.

Tabelle 3.5: Telnet-Filterregeln, Quelle: [BIF-96] S. 239

Telnet kann auch über Proxy-Server angeboten werden. Das SOCKS-Softwarepaket enthält z.B. einen entsprechendmodifizierten Telnet-Client für UNIX. Auch das Firewall-Toolkit der Firma Trusted Information Systems stellt einenTelnet-Proxy-Server zu Verfügung.

Damit die Daten, die per Telnet übertragen werden, nicht von Dritten mitgelesen werden können, sollten Telnet-Programmeeingesetzt werden, die mit Verschlüsselung arbeiten. Eingehende Telnet Verbindungen müssen durch starkeAuthentisierung abgesichert werden (siehe Abschnitt 3.3).


TELNET


Nächste Seite: TFTP Aufwärts: Firewalls Vorherige Seite: TELNET Inhalt Index

Dateitransfer

UnterabschnitteTFTP●

FTP●

FSP●


Dateitransfer


Nächste Seite: World Wide Web (WWW) Aufwärts: Firewalls Vorherige Seite: FSP Inhalt Index

DNSDNS-Server verwenden UDP und TCP, jeweils mit dem Standartport 53. TCP wird verwendet, wenn eine Anfrage per UDPnicht erfolgreich war, weil z.B. nicht alle Daten angekommen sind (UDP ist ein unzuverlässiges Protokoll, sieheAbschnitt 2.11). DNS-Clients verwenden Portnummern 1023.

DNS kann durch die Filterregeln in Tabelle 3.8 durch einen Paketfilter zugelassen werden.

Tabelle 3.8: DNS-Filterregeln, Quelle: [BIF-96] S. 281

DNS ist so aufgebaut, daß die DNS-Server immer als Proxy für die Clients fungieren. Durch Aktivieren derDNS-Funktionen forwarding kann man einen DNS-Server als Proxy für einen anderen Server verwenden.

DNS kann so konfiguriert werden, daß die interne Netzstruktur von außen abfragbar ist oder auch nicht. WelcheKonfiguration man wählt, hängt von der jeweiligen Sicherheitspolitik ab. In [BIF-96] sind beide Möglichkeiten detailliertbeschrieben. Sicherer ist natürlich die Variante, bei der die interne Netzstruktur (Hostnamen, IP-Adressen) nicht von außenabfragbar ist.


DNS


Nächste Seite: Gopher Aufwärts: Firewalls Vorherige Seite: DNS Inhalt Index


UnterabschnitteGopher●

WAIS●




Nächste Seite: HTTP Aufwärts: Firewalls Vorherige Seite: WAIS Inhalt Index

ArchieArchie ist ein auf UDP basierender Dienst. Server verwenden UDP-Port 1525, die Archie-Clientsbenutzen UDP-Portnummern 1023. Damit ergeben sich die in Tabelle 3.11 dargestellten

Filterregeln.

Tabelle 3.11: Archie-Filterregeln, Quelle: [BIF-96] S. 264

Richtung Quelladresse Zieladresse Protokoll Quellport Zielport Bemerkung

Aus Intern Extern UDP 1023 1525 Ausgehende Anfrage, Client an Server

Ein Extern Intern UDP 1525 1023 Eingehende Antwort von Server an Clinet

Der Archie-Dienst kann auf verschiedene Arten genutzt werden:

Über Telnet●

Über EMail●

Über Webbrowser●

Über dedizierten Archie-Clinet●

Am besten verwendet man Webbrowser um auf Archie-Server zuzugreifen, da man dann dieMöglichkeit hat, den Proxy-support des Browsers zu nutzen.

UnterabschnitteHTTP●

S-HTTP●

Cookies●

ActiveX●

Java●

Nächste Seite: HTTP Aufwärts: Firewalls Vorherige Seite: WAIS Inhalt Index Klaus Bauer1999-10-20

Archie


Nächste Seite: NNTP Aufwärts: Firewalls Vorherige Seite: Java Inhalt Index

SNMPSNMP basiert auf UDP. SNMP-Server in Netzwerkkomponenten wie z.B. Router, Hubs, etc. erwartenVerbindungen auf TCP- und UDP-Port 161. Zusätzlich gibt es noch SNMP-trap-Server die auf TCP-bzw. UDP-Port 162 Anfragen beantworten. SNMP kann also mit einem statischen Paketfilter gefiltertwerden. Firewalls sollten jedoch SNMP-Pakete abweisen, da eine Administration vonNetzwerkkomponenten von außen (über das Internet) nicht zugelassen werden sollte. In [BIF-96] istein detaillierte Aufstellung von Filterregeln für das SNMP-Protokoll zu finden. Proxy-Server sindnicht verfügbar, da man SNMP normalerweise nicht über das Internet verwendet.


SNMP


Nächste Seite: NTP Aufwärts: Firewalls Vorherige Seite: SNMP Inhalt Index

NNTPNNTP verwendet TCP als Transportprotokoll. NNTP-Server verwenden Port 119. NNTP-Clients (sowie Server, die Newszu anderen Servern übertragen) benutzen Portnummer 1023. Tabelle 3.13 zeigt die sich daraus ergebenden Filterregeln.

Tabelle 3.13: Nntp-Filterregeln, Quelle: [BIF-96] S. 246

Alternativ zu einem Paketfilter kann man NNTP auch mit einem Proxy-Server entsprechend absichern.


NNTP


Nächste Seite: IRC Aufwärts: Firewalls Vorherige Seite: NNTP Inhalt Index

NTPDas NTP-Protokoll verwendet UDP. NTP-Server benutzen den UDP-Port 123 während NTP-ClientsPortnummern 1023 nutzen. Somit kann NTP mit den Filterregeln in Tabelle 3.14 durch einen

Paketfilter zugelassen werden.

Tabelle 3.14: Ntp-Filterregeln, Quelle: [BIF-96] S. 307


Ein Extern Intern UDP 1023 123Eingehende Anfrage, Client anServer

Aus Intern Extern UDP 123 1023Antwort auf eingehendeAnfrage, Server an Client

Aus Intern Extern UDP 1023 123Ausgehende Anfrage, Clientan Server

Ein Extern Intern UDP 123 1023Antworten auf ausgehendeAnfrage, Server an Client

Ein Intern Extern UDP 123 123 Anfrage oder Antwortzwischen zwei Servern

Aus Extern Intern UDP 123 123 Anfrage oder Antwortzwischen zwei Servern

Proxy-Server für NTP sind nicht verfügbar. Der Einsatz von NTP über das Internet ist nichtnotwendig, da es mittlerweile entsprechende Funkuhren zu einem akzeptablen Preis (ca. DM 200,-) zukaufen gibt. Durch Installation einer eigenen Funkuhr kann man einen internen NTP-Server aufsetzen,der dann für die internen Rechner als Primary-Timeserver ansprechbar ist. NTP-Anfragen von außensollten dann von der Firewall abgewiesen werden.

Nächste Seite: IRC Aufwärts: Firewalls Vorherige Seite: NNTP Inhalt Index Klaus Bauer1999-10-20

NTP


Nächste Seite: UUCP Aufwärts: Firewalls Vorherige Seite: NTP Inhalt Index

IRCWegen der verbreiteten Schwächen der IRC-Clients ist der Einsatz von IRC über Paketfilter nichtratsam. Die beste Möglichkeit IRC anzubieten, besteht darin, eine dedizierte Opfermaschine in einerScreened Subnet Architektur bereitzustellen, auf der sich dann die Benutzer einloggen können undvon dort aus IRC benutzen.


IRC


Nächste Seite: X-Windows Aufwärts: Firewalls Vorherige Seite: IRC Inhalt Index

UUCPFirewalls sollten vor allem wegen des Remote Login und der interaktiven Nutzung von Remote-Computern UUCP-Diensteabweisen. Die Funktionalität Electronic Mailing wird heute durch SMTP abgedeckt. [fwstud]

UUCP-Server3.5 verwenden TCP-Port 540. Die Clients benutzen Portnummern 1023. Sofern UUCP verwendet werden

soll, gibt es die in Tabelle 3.15 beschriebenen Filtermöglichkeiten, die den Zugang auf einen Bastion Host beschränken.

Tabelle 3.15: UUCP-Filterregeln, Quelle: [BIF-96] S. 237


UUCP


Nächste Seite: Die ,,r``-Kommandos Aufwärts: Firewalls Vorherige Seite: UUCP Inhalt Index

X-Windows

Das X-Window-Protokoll verwendet TCP als Transportprotokoll. X-Server benutzen TCP-Ports 6000 n, wobei n die

Anzahl der vorhandenen X-Server bezeichnet. Der erste X-Server benutzt die Portnummer 6000, der zweite 6001 usw.Clients verwenden Portnummern 1023. Verbindungsanfragen von außen an die Portnummern 6000 n sollten

abgewiesen werden. Tabelle 3.16 gibt eine entsprechende Regelmenge an.

Tabelle 3.16: X11-Filterregeln, Quelle: [BIF-96] S. 316

Benötigt man Verbindungen von außen an interne X-Server, sollte man dies über einen Proxy realisieren.


X-Windows


Nächste Seite: LPD Aufwärts: Firewalls Vorherige Seite: X-Windows Inhalt Index

Die ,,r``-KommandosDie ,,r``-Kommandos sind TCP basiert. Server verwenden die ,,well-known``-Ports 513 (rlogin) und514 (rsh, rcp, rdump, rrestore und rdist). Clients benutzen zufällige Portnummern unter 1023.Man sollte die r-Kommandos nicht über eine Firewall zulassen. Die Gefahren, die man dadurch inKauf nehmen würde, sind einfach zu groß. Proxy-Server sind nicht vorhanden, da die r-Kommandosnormalerweise nicht über das Internet genutzt werden.Eine Möglichkeit, die Funktionalität der ,,r``-Kommandos sicher anzubieten, ist ssh (secure shell).SSH beinhaltet u.a. starke Authentifizierung und verschlüsselte Datenübertragung. DetaillierteInformationen zu SSH sind im Internet unter http://www.cs.hut.fi/ssh zu finden.


Die ,,r``-Kommandos


http://www.cs.hut.fi/ssh

Nächste Seite: Fingerd Aufwärts: Firewalls Vorherige Seite: Die ,,r``-Kommandos Inhalt Index

LPDDer LPD-Dienst basiert auf TCP. Server verwenden Port 515. Clients benutzen zufälligePortnummern 1023, genau wie die r-Kommandos. Normalerweise gibt es keinen Grund remote

Drucken von außen anzubieten. LPR-Anfragen von außen sollten von der Firewall abgewiesenwerden. Dies kann durch den Einsatz eines Paketfiltersystems erreicht werden.


LPD


Nächste Seite: Authentisierung Aufwärts: Firewalls Vorherige Seite: LPD Inhalt Index

FingerdDer Finger-Dienst verwendet TCP als Transportprotokoll. Server laufen auf Port 79. Die Clients verwenden Portnummern

1023. Am besten verwendet man einen eigenen Finger-Daemon, der außer einem allgemeinen Hinweis, wie die

EMailadressen aufgebaut sind, keine weiteren Informationen preis gibt. Eine modifizierte Fingerd-Ausgabe könnte wie folgtaussehen:Wenn Sie Mail an einen unserer Mitarbeiter senden wollen,verwenden Sie folgendes Format für die Adresse:[email protected] Tabelle 3.17 sind Filterregeln zur Konfiguration eines Paketfilters beschrieben.

Tabelle 3.17: Fingerd-Filterregeln, Quelle: [BIF-96] S. 268


Fingerd


Nächste Seite: Einmal-Paßworte Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite: Fingerd Inhalt Index

AuthentisierungBei vielen Diensten erfolgt die Authentisierung der Benutzer durch die Eingabe von Benutzernameund Paßwort. Die Übertragung dieser Daten erfolgt meistens im Klartext und ist deshalb unsicher.Durch den Einsatz starker Authentisierungsverfahren, wird die Gefahr, daß ein Angreifer durchPaketsniffing erlangte Benutzerdaten zum Eindringen in das Firmennetzwerk verwenden kann, starkreduziert.

UnterabschnitteEinmal-Paßworte●


Authentisierung


Nächste Seite: Kryptographie Aufwärts: Authentisierung Vorherige Seite: Authentisierung Inhalt Index

Einmal-PaßworteEine sehr gute Möglichkeit um einen Zugang zum LAN (z.B. Telnet-Zugang) von außen abzusichernist die Verwendung von Einmal-Paßworten. Mit dem Einmal-Paßwort verhält es sich exakt so, wie derName es sagt: Es wird genau einmal verwendet und danach ungültig. Dies ist eine sehr starkeVerteidigung gegen Lauscher oder kompromittierte telnet-Befehle. [FSI-96]Das Prinzip beruht im wesentlichen darauf, daß sich der Benutzer auf seinem Arbeitsplatzrechner eineListe von Challenge und Response Kombinationen erzeugen läßt. Diese Liste kann er sich dannausdrucken und mitnehmen. Der Challenge bzw. Response kann z.B. ein Wort sein oder eineZufallszahl. Wenn sich der User nun von außen, z.B. per Telnet, einloggen möchte erscheint nachEingabe seines Benutzernames ein Challenge auf seinem Bildschirm. Als Paßwort muß dann derentsprechende Response eingeben werden. Tabelle 3.18 zeigt figtive Challenge-ResponseKombinationen.

Tabelle 3.18: ChallengeResponse-Kombinationen

Challenge Response

Käfer VW

Galaxy Ford

Carrera Porsche

Silberpfeil Mercedes

Sieht der Benutzer als Challenge Carrera, muß er als Paßwort Porsche eingeben. Bei derGenerierung der Challenge ist gewährleistet, daß ein Challenge nur einmal vorkommt. Eineweitverbreitete Implementation eines Einmal-Paßwortsystems ist S/Key.Alternativ zum Ausdrucken der Liste mit den Challenge-Response kann der Benutzer sich denResponse von einem Programm auf seinem Notebook berechnen lassen. Andere Verfahren benutzenChipkarten oder Smart Cards zum Erzeugen von Challenge-Response-Kombinationen.In Zukunft werden biometrische Authentifikationsverfahren verstärkt eingesetzt werden. Dabeiwerden biologische Merkmale des Benutzers, wie z.B. Fingerabdruck, Stimmuster oder bestimmteGesichtsmerkmale zur Authentifizierung verwendet.

Einmal-Paßworte


Nächste Seite: Kryptographie Aufwärts: Authentisierung Vorherige Seite: Authentisierung Inhalt Index Klaus Bauer 1999-10-20

Einmal-Paßworte


Nächste Seite: Intrusion Detection Systeme (IDS) Aufwärts: Maßnahmen zum Schutz vorVorherige Seite: Einmal-Paßworte Inhalt Index

Kryptographie,,Mit Hilfe von Verschlüsselungsmechanismen ist man in der Lage, Daten in eine für jedenunverständliche Form zu transformieren, der nicht im Besitz des geheimen Entschlüsselungscodesist.`` [SiI]Dadurch kann man sensitive Daten so absichern, daß ein Angreifer, der Zugang zu einem Systemerlangt hat, die kryptographisch abgesicherten Daten nicht lesen kann. Die Übertragung vonvertraulichen Daten über ein unsicheres Netzwerk, wie z.B. dem Internet, kann durch den Einsatz vonVerschlüsselungsverfahren sicher durchgeführt werden.Da Kryptographie eine eigene Wissenschaft darstellt, wird an dieser Stelle nicht weiter auf dieverschiedenen Verfahren eingegangen. Weiterführende Informationen zu diesem Thema sind in[Schneier] zu finden. Ein für nahezu alle Unixsysteme verfügbares Kryptographiesystem istKerberos.


Kryptographie


Nächste Seite: Angriffssimulatoren Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite:Kryptographie Inhalt Index

Intrusion Detection Systeme (IDS)Selbst das beste Sicherheitssytem kann nicht mit letzter Sicherheit ausschließen, daß es jemandengelingt, sich unerlaubt Zutritt in das zu schützende Computersystem zu verschaffen. Damit einerfolgreicher Angriff möglichst schnell erkannt werden kann wurden Intrusion Detection Systemeentwickelt.Solche Systeme sind in der Lage mögliche Systemeinbrüche durch Überwachen einer Vielzahl vonNetzaktivitäten (Verkehrslast, Kommunikationsmatrizen, Aktivitäten an bestimmten Ports, etc.) zuerkennen.Ein sehr leistungfähiges Public-Domain Intrusion Detection System ist ASAX (Advanced Securityaudit trail Analyzer) vom Institute Informatique Mounji in Belgien. ASAX ist unterftp://ftp.info.fundp.ac.be/pub/projects/asax im Internet zu finden.


Intrusion Detection Systeme (IDS)


ftp://ftp.info.fundp.ac.be/pub/projects/asax

Nächste Seite: Schutz vor Viren Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite: IntrusionDetection Systeme (IDS) Inhalt Index

AngriffssimulatorenWie oben schon erwähnt, gibt es keinen absoluten Schutz vor Systemeinbrüchen. Damit eventuelleSchwachstellen erkannt werden, bevor dies einem Angreifer gelingt, wurden Programme entwickelt,die ein System auf Sicherheitslücken untersuchen.Im Internet findet man sehr viele Softwarepakete, die für diesen Zweck entwickelt wurden. Natürlichmachen sich Hacker diese Tools für ihre Zwecke (Sicherheitslöcher zu finden) zu nutze. Daher sollteein Firewallsystem einen Test durch Angriffsimmulatoren erfolgreich absolvieren, bevor man darüberdas LAN mit dem Internet verbindet. Aber selbst wenn ein Test durch einen Angriffsimulator keineSicherheitslücken zum Vorschein gebracht hat, können noch immer welche vorhanden sein.Ein sehr bekanntes Tool zum Überprüfen von Computernetzwerken ist SATAN (SecurityAdministrators Tool for Analyzing Networks), zu finden unterftp://coast.cs.purdue.edu/pub/Purdue/SATAN/. Neben Angriffsimmulatoren gibt esnoch Programme, die zur Überwachung der Systemintegrität entwickelt wurden. Ein bekanntesProgramm zur Kontrolle von bestimmten Dateien oder ganzen Verzeichnisstrukturen ist Tripwire,unter ftp://coast.cs.purdue.edu/pub/Purdue/Tripwire im Internet zu finden.Tripwire informiert den Systemadministrator, z.B. ob Dateien hinzugefügt, verändert oder gelöschtwurden. Wichtige Systemdateien, wie /etc/inetd.conf oder /etc/passwd, sollten durch einentsprechendes Programm überwacht werden.

Nächste Seite: Schutz vor Viren Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite: IntrusionDetection Systeme (IDS) Inhalt Index Klaus Bauer 1999-10-20

Angriffssimulatoren


ftp://coast.cs.purdue.edu/pub/Purdue/SATAN/

ftp://coast.cs.purdue.edu/pub/Purdue/Tripwire

Nächste Seite: Schutz vor Angriffen von Aufwärts: Maßnahmen zum Schutz vor Vorherige Seite:Angriffssimulatoren Inhalt Index

Schutz vor VirenFirewalls bieten i.d.R. keinen Schutz vor Viren. Nur einige moderne komerzielle Firewallsysteme sindin der Lage Dateien aus dem Internet auf Viren zu überprüfen. Aber selbst wenn man einFirewallsystem einsetzt, das diese Möglichkeit hat, ist man nicht ausreichend vor Viren geschützt.Grundsätzlich sollte auf jedem Rechner ein eigener Virenscanner installiert werden. Dabei sollte einProdukt eingesetzt werden, das alle eingehenden Files automatisch auf Viren überprüft. DasVirenprogramm sollte immer up-to-date sein, damit garantiert werden kann, daß alle neu bekanntgewordenen Viren auch sicher erkannt werden.


Schutz vor Viren


Nächste Seite: Trends und zukünftige Entwicklungen Aufwärts: Maßnahmen zum Schutz vorVorherige Seite: Schutz vor Viren Inhalt Index

Schutz vor Angriffen von innenDie meisten sicherheitsrelevanten Vorfälle erfolgen nicht von außen, also durch Angriffe aus demInternet, sondern von Rechnern im LAN.Um sich gegen Angriffe von innen zu schützen, kann man interne Firewalls einsetzen. Eine weitereMaßnahme sind Schulungen des Personals im Umgang mit dem Internet und dem Firmennetzwerk.Die Angestellten müssen über die Gefahren, die von Trojanern oder Viren ausgehen, informiertwerden, da sie Software von Disketten oder selbst gebrannten CD-ROMs auf ihrenArbeitsplatzrechner installieren können. Desweiteren müssen die Mitarbeiter auch darüber aufgeklärtwerden, daß böswillige Personen versuchen könnten, ihnen sensible Daten wie Passwörter zuentlocken (siehe Social Hacking, Abschnitt 2.6).


Schutz vor Angriffen von innen


Nächste Seite: Praxisteil: Entwicklung und Realisation Aufwärts: Maßnahmen zum Schutz vorVorherige Seite: Schutz vor Angriffen von Inhalt Index

Trends und zukünftige EntwicklungenDurch die Entwicklung neuer Anwendungen mit neuen Protokollen (IPv6) werden die hiervorgestellten Firewallsysteme stark verändert und erweitert werden müssen, um den neuenAnforderungen gerecht zu werden.In zukünftigen Firewallsystemen werden Expertensysteme in die Firewall-Architekturen integriertwerden. Dadurch soll erreicht werden, daß die Firewall mit Hilfe dieser künstlichen Intelligenz, diez.B. durch neuronale Netze bereitgestellt wird, Angriffstrukturen erlernen kann. Damit will man derdynamischen Entwicklung von neuen Angriffstechniken begegnen.,,Mit der zunehmenden Leistungsfähigkeit der Prozessoren rückt jedenfalls das Szenario vonComputer-Sytemen, die genügend Reserven an Rechenleistung besitzen, um sich selbst mit Hilfe vonleistungsfähigen Authentifikations- und Verschlüsselungsmechanissmen zu schützen, näher.`` [SiI]Wohin der Weg genau führen wird läßt sich heute natürlich nicht exakt sagen, aber durch die starkzunehmende Nutzung des Internet durch Firmen und Privatpersonen wird das ,,Thema Sicherheit imInternet`` zukünftig stark an Bedeutung gewinnen.


Trends und zukünftige Entwicklungen


Nächste Seite: Sicherheitskonzept Aufwärts: Schutzmaßnahmen Vorherige Seite: Trends undzukünftige Entwicklungen Inhalt Index

Praxisteil: Entwicklung und Realisationeines Firewallkonzeptes zur Anbindungeines LAN an das InternetMit den theoretischen Grundlagen aus den Kapiteln 2 und 3 kann nun der praktische Teil dieser Arbeitangegangen werden: ein geeignetes Sicherheitskonzept zur Anbindung von Firmennetzwerken, dieauf TCP/IP-Basis aufgebaut sind (Intranet), zum Anschluß an das Internet zu entwickeln und aufeinem PC zu implementieren.

UnterabschnitteSicherheitskonzept

Zielsetzung❍

Risikoanalyse❍


❍

●

Auswahl des Betriebssystems●


Bastion Host❍

Router❍

●

Firewall-Architektur●

Konfiguration des Routers●



Installierte Komponenten■

❍


Konfiguration des DNS-Systems■

Konfiguration des Mail-Systems■

Konfiguration des Webserver■

Konfiguration des HTTP-Proxy■

Konfiguration von SSH■

❍

●

Praxisteil: Entwicklung und Realisation eines Firewallkonzeptes zur Anbindung eines LAN an das Internet


Konfiguration von Tripwire■


Praxisteil: Entwicklung und Realisation eines Firewallkonzeptes zur Anbindung eines LAN an das Internet


Nächste Seite: Zielsetzung Aufwärts: Praxisteil: Entwicklung und Realisation Vorherige Seite:Praxisteil: Entwicklung und Realisation Inhalt Index

Sicherheitskonzept

UnterabschnitteZielsetzung●

Risikoanalyse●


●


Sicherheitskonzept


Nächste Seite: Risikoanalyse Aufwärts: Sicherheitskonzept Vorherige Seite: Sicherheitskonzept Inhalt Index

ZielsetzungDie Formulierung der Ziele ist bewußt sehr allgemein gehalten, um sie auf möglichst viele Einzelfälleanwenden zu können, wobei sie natürlich immer den konkreten Problemstellungen angepaßt werdenmüssen.

Die nachfolgenden Ziele müssen durch das Sicherheitskonzept erreicht werden:

Daten auf internen Rechnern dürfen nicht über das Internet zugnäglich sein.●

Der Zugriff auf interne Resourcen (Drucker, CD-ROM-Laufwerke usw.) über das Internet mußverhindert werden.

●

Die Mitarbeiter sollen in ihrer Arbeit durch das Sicherheitskonzept möglichst nicht behindertwerden.

●

Jeder Mitarbeiter soll uneingeschränkt EMail (SMTP) nutzen können.●

Jeder Mitarbeiter soll das WWW (HTTP) nutzen können.●

Einrichtung eines Fernwartungzuganges für den ,,Internetserver`` (Bastion Host).●

Erweiterbarkeit: Das Sicherheitskonzept muß so ausgelegt sein, daß neue Dienste sicherintegriert werden können.

●


Zielsetzung


Nächste Seite: Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik) Aufwärts:Sicherheitskonzept Vorherige Seite: Zielsetzung Inhalt Index

RisikoanalyseDie nachfolgende Risikoanalyse ist ebenfalls sehr allgemein gehalten und muß im konkretenEinzelfall überprüft und erweitert werden.

Die zu schützenden Daten sind vertraulich. Manipulation oder Mitlesen der Daten durch Drittebeeinträchtig die Firma erheblich.

●

Das Funktionieren des LAN ist von großer Bedeutung für das Unternehmen, um seineUnternehmensziele zu erreichen. Die Grundschutzanforderungen müssen erfüllt sein(Vertraulichkeit, Integrität, Verfügbarkeit, siehe Abschnitt 3.1.1).

●

Das LAN ist physikalisch sicher und den Mitarbeitern kann vertraut werden.●

Die Rechner im LAN werden als sicher angesehen.●

Die Mitarbeiter sind im Besitz von Informationen, die ein potentielles Angriffsziel darstellen.●

Paßwörter, die über das Internet gesendet werden, können von Dritten mitgelesen werden.●

Alle Daten, die über das Internet übertragen werden, können von Dritten mitgelesen werden.●

EMail, die das LAN verlassen haben, können von Dritten gelesen oder manipuliert werden.●

Softwarefehler, die zum Eindringen in das LAN ausgenutzt werden können, sind nichtauszuschließen.

●

Accounts, auf die über das Internet zugegriffen werden kann, könnten geknackt werden unddadurch Zugriff auf das LAN erlangt werden.

●

Nächste Seite: Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik) Aufwärts:Sicherheitskonzept Vorherige Seite: Zielsetzung Inhalt Index Klaus Bauer 1999-10-20

Risikoanalyse


Nächste Seite: Auswahl des Betriebssystems Aufwärts: Sicherheitskonzept Vorherige Seite:Risikoanalyse Inhalt Index

Erstellung der Sicherheitsrichtlinien(Sicherheitspolitik)Aus der Risikoanalyse ergeben sich diese Sicherheitsrichtlinien:

Alles, was nicht ausdrücklich erlaubt ist, ist verboten.●

Sicherheit geht vor Service, d.h. kann ein Dienst nicht sicher angeboten werden, wird er nichteingesetzt.

●

Direkte Verbindungen von außen (aus dem Internet) zu Hosts im LAN sind verboten.●

Netzwerkdienste werden so einfach wie möglich installiert. Minimalkonfigurationen und nurunbedingt notwendige Funktionen sind erlaubt.

●

Die Einhaltung der Sicherheitsanforderungen muß nachprüfbar sein.●

Dial-in Verbindungen sind nicht erlaubt.●


Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik)


Nächste Seite: Auswahl der Hardware Aufwärts: Praxisteil: Entwicklung und Realisation VorherigeSeite: Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik) Inhalt Index

Auswahl des BetriebssystemsAls Betriebssystem für den Bastion Host wird FreeBSD 3.2 verwendet. FreeBSD ist ein ,,freies``Unix, das auf Intel- und Alpha-Plattformen eingesetzt werden kann.FreeBSD wurde aus folgenden Gründen ausgewählt:

Die Auswahl an freien Softwaretools für Unix-Betriebssysteme, wie FreeBSD, ist sehr groß.●

Sehr zuverläßiges und auch unter großer Last stabiles Betriebssystem. Der derzeit größteFTP-Server im Internet http://www.cdrom.com/ läuft unter FreeBSD.

●

FreeBSD kostet ca. DM 70.- und ist somit eine sehr kostengünstige Lösung.●

FreeBSD wird als vollständiges Netzwerkbetriebssystem ausgeliefert. WichtigeServerprogramme, z.B. Webserver, Proxyserver, gibt es im Internet zum konstenlosenDownload.

●

Sehr viele detaillierte Dokumentationen verfügbar.●

Source-Code verfügbar.●

Die oben genannten Punkte treffen im Wesentlichen auf für Linux zu, aber im Gegensatz zu FreeBSDgibt es bei Linux kein ,,Core-Team``, das die Entwicklung koordiniert. Da die FreeBSD-Entwicklergroßen Wert auf Zuverläßigkeit und Stabilität legen, ist FreeBSD bestens für den Einsatz alsInternet-Server-OS geeignet. Sehr viele große Internetsites setzen ebenfalls auf FreeBSD, z.B. yahoo!,Apache oder Hotmail. Siehehttp://freebsd.tesserae.com/advocacy.php3?page=busers.

Nächste Seite: Auswahl der Hardware Aufwärts: Praxisteil: Entwicklung und Realisation VorherigeSeite: Erstellung der Sicherheitsrichtlinien (Sicherheitspolitik) Inhalt Index Klaus Bauer1999-10-20

Auswahl des Betriebssystems


http://www.cdrom.com/

http://freebsd.tesserae.com/advocacy.php3?page=busers

Nächste Seite: Bastion Host Aufwärts: Praxisteil: Entwicklung und Realisation Vorherige Seite:Auswahl des Betriebssystems Inhalt Index


UnterabschnitteBastion Host●

Router●




Nächste Seite: Router Aufwärts: Auswahl der Hardware Vorherige Seite: Auswahl der Hardware Inhalt Index

Bastion HostDer Bastion Host wird mit folgender Hardware ausgestattet:

CPU Pentium III●

Hauptspeicher (RAM) 64 MByte●

Festplatten 2 GByte, (SCSI oder IDE)●

1,44 MByte Floppy●

10/100 Ethernetkarte●

CDROM optional●

Streamer optional●

Selbstverständlich läuft FreeBSD auch mit leistungsschwächerer Hardware (z.B 386sx CPU, 5MBRAM und 60MB Festplattenspeicher), aber angesichts des Preisverfalls für Computerhardware stelltdie PC-Hardware nur noch einen geringen Kostenfaktor dar. Einen PC mit den oben genanntenKomponenten kann man für ca. DM 1500.- erwerben.


Bastion Host


Nächste Seite: Firewall-Architektur Aufwärts: Auswahl der Hardware Vorherige Seite: BastionHost Inhalt Index

RouterUm ein Netzwerk mit einem anderen Netzwerk zu verbinden, werden Router eingesetzt. In unseremFall verbinden sich die Firmen über ISDN-Wähleitungen mit dem Internet. Dies kann man zwar auchunter FreeBSD durch Einbau einer ISDN-Karte bewerkstelligen, aber die Möglichkeiten dabei sindziemlich beschränkt. Router erledigen diese Aufgabe effizienter und einfacher. Darüberhinausbesitzen Router mehr Funktionalität, z.B. Unterstützung verschiedener Kompressionsverfahren,Datenverschlüsselung und sie können mit den wichtigsten Protokollen (HDLC, X.75, X.25, PPP usw.)umgehen.CameloT setzt für diese Aufgabe Router der Firma BinTec Communications(http://www.bintec.de) ein. Wir haben uns für den Router BinGO!-PC entschieden, da dieserim 3,5 Zoll Laufwerksformat lieferbar ist und deshalb in ein PC-Gehäuse eingebaut werden kann.


Router


http://www.bintec.de/

Nächste Seite: Konfiguration des Routers Aufwärts: Praxisteil: Entwicklung und RealisationVorherige Seite: Router Inhalt Index

Firewall-ArchitekturDurch den Einsatz eines Routers und eines Bastion Host ergibt sich eine Screened-Host-FirewallArchitektur wie in Abschnitt 3.2.4.2 beschrieben. Diese kann gegebenenfalls ohne viel Aufwand zueiner Screened-Subnet-Architektur erweitert werden: durch Hinzufügen eines weiteren Routers,durch den Einsatz eines Routers, der mehr als ein LAN-Interface besitzt oder durch den Einbauweiterer Netzwerkkarten in den Bastion Host.


Firewall-Architektur


Nächste Seite: Konfiguration des Bastion-Host Aufwärts: Praxisteil: Entwicklung und RealisationVorherige Seite: Firewall-Architektur Inhalt Index

Konfiguration des RoutersDer ISDN-Router wird so konfiguriert, daß er nur Verbindungen nach außen aufbaut, die vom BastionHost ausgehen. Durch die Ergebnisse der Analyse der Internetdienste in Bezug auf ihreSchwachstellen und die gewählte Firewall-Architektur können nur die nachfolgenden Dienste füreingehende Verbindungen sicher zugelassen werden:

SMTP●

SSH (Secure Shell)●

HTTP●

Alle Logginformationen des ISDN-Routers werden per syslog an den Bastion Host weitergeleitet. DerBinGO!-PC hat als Sicherheitsfunktion Network Address Translation (NAT) integriert. DurchAktivieren von NAT auf dem WAN-Interface (ISDN-Interface) wird die interne Netzstruktur vor derAußenwelt verborgen. Von außen ist nur der Router direkt zu erreichen. Die gewünschten Dienste(z.B. SMTP, SSH) werden durch den NAT-Mechanismus auf den Bastion Host durchgeschleußt. Diesist von außen aber nicht zu erkennen.

Abbildung 4.1: Hauptkonfigurationsmenu des BinGO-ISDNRouters

Um diese Konfiguration zu realisieren, sind folgende Schritte notwendig:

Ändern der Default-Paßwörter

Im Hauptmenu (siehe Abbildung 4.1) System auswählen. Anschließend die Paßwörter der Useradmin, read und write ändern. Auch das HTTP Server Password sollte geändert werden. 4.1

●

External System Logging konfigurieren●

Konfiguration des Routers


Die Einstellungen zur Aktivierung des externen System Logging werden ebenfalls im MenuSystem vorgenommen. Im Untermenu External System Logging kann ein externer Rechnerangegeben werden, an den Systeminformationen gesendet werden sollen. Dabei kann manverschiedene Level auswählen (info, debug, usw.). Das Level bestimmt wie ausführlich dieLogginformationen sind.Damit der Bastion Host die Logginginformationen in ein eigenes File speichert, muß in derDatei /etc/syslog.conf ein entsprechender Eintrag hinzugefügt werden, z.B.:

local4.debug /var/log/brick

In diesem Beispiel wurde als Level debug gewählt und die Informationen werden durch denSyslogdaemon in die Datei /var/log/brick geschrieben.

LAN-Interface konfigurieren

Im Hauptmenu CM-BNC/TP, Ethernet auswählen. Anschließend sind folgende Einträge zumachen:

local IP-NumberIP-Adresse des LAN-Interface, z.B. 192.168.42.148 eintragen.

❍

local NetmaskDie zugehörige Netmask eintragen, z.B. 255.255.255.0 für ein Class C-Netz.

❍

EncapsulationHier kann man das Ethernetprotokoll auswählen: Ethernet II oder Ethernet SNAP.Die BinGO wird mit Ethernet II konfiguriert.

❍

Im Untermenu Advancde Settings wird noch Back Route Verify aktiviert. Dies bewirkt, daßdie BinGO IP-Pakete mit gefälschten Source-Adressen erkennt und abweist. Dadurch ist manvor vielen ,,Denial-of-service``-Angriffen geschützt.

●

WAN-Interface (ISDN-Interface) konfigurieren

Das WAN-Interface kann im Hauptmenu unter CM-1BRI, ISDN S0 konfiguriert werden. DieDefault-Einstellungen werden übernommen. Optional kann im Untermenu Advanced Settingsein Fernwartungszugang über eine ISDN-Leitung konfiguriert werden.

Abbildung 4.2: Das WAN-Partner Konfigurationsmenu

●

Einrichten des ISDN-Interface zum Internet-Service-Provider (ISP)

Damit die BinGO bei Bedarf automatisch eine Verbindung zu einem ISP aufbaut muß im

●



Hautmenu unter WAN Partner ein neues ISDN-Interface eingerichtet werden. Zur Erzeugungeines neuen Interface wählt man im WAN-Partner-Menu ADD. Anschließend erscheint die inAbbildung 4.2 dargestellte Eingabemaske. Die nachfolgenden Einträge konfigurieren einenInternet-Dialup-Zugang.

Partner NameEindeutiger String, der das Interface bezeichnet, z.B. CameloT.

❍

EncapsulationProtokoll, das für die Verbindung benutzt werden soll, z.B. PPP, X.25, HDLC usw.Das CameloT-Interface wird mit PPP konfiguriert.

❍

CompressionHier kann man Datenkompression einstellen. Vorraussetzung dafür ist, daß dieGegenseite dies unterstützt.

❍

EncryptionHier kann eine Verschlüsselung eingestellt werden. Die Gegenstelle muß dies natürlichunterstützen.

❍

Calling Line IdentificationDie Authentifizierung des Partners (z.B. für Callback4.2) kann durch dieISDN-Rufnummer erfolgen. Wird automatisch auf ,,yes`` gesetzt, wenn im nächstenPunkt eine incomming Nummber eingetragen wird. Zusätzlich kann noch PAP oderCHAP zur Authentifizierung eines eingehenden Anrufes aktiviert werden.

❍

WAN NumbersHier muß die Einwahlnummer des ISP eingetragen werden. Zusätzlich kann man hiernoch eine Rufnummer für eingehende Anrufe, z.B. für Callback eintragen.

Abbildung 4.3: WAN-Partner PPP-Konfigurationsmenu

❍

PPP

Soll die Authentifizierung nicht durch die ISDN-Rufnummer erfolgen, müssen in diesemUntermenu die Benutzerdaten eingetragen werden, siehe Abbildung 4.3. Die einzelnenFelder haben folgende Bedeutungen:

AuthenticationHier besteht die Möglichkeit, zwischen verschiedenenAuthentifizierungsprotokollen auszuwählen: PAP, CHAP, MS-CHAP oder eineKombination aus den drei Protokollen.

■

❍



Partner PPP IDDer Loginname der Gegenseite. Die BinGO erwartet, daß sich die Gegenstelle mitdiesem Namen authentifiziert, wenn die BinGO eine Verbindung zum ISP aufbaut.

■

Local PPP IDLoginname zur Authentifizierung bei der Gegenstelle. Wird vom Internet-Providerfestgelegt.

■

PPP PasswordHier ist das Password anzugeben, das der Internet-Provider vergeben hat.

■

KeepAlivesWird dieses Feld auf ,,on`` gesetzt, sendet die BinGO alle 3 SekundenLCP-echo-requests (Link Control Protokoll) an die Gegenstelle um zu sehen, obdie Leitung noch funktioniert. Dies ist nur bei Standleitungen sinvoll.Default-Einstellung ist ,,off``.

■

Link Quality MonitoringWird diese Funktion aktiviert, dann schreibt die BinGO Statistiken zurLeitungsqualität in eine interne Tabelle. Diese Informationen können bei der Suchenach Fehlern bei der Datenübertragung hilfreich sein. Default-Einstellung ist,,off``.

■

Wurde bereits Rufnummern-Authentifizierung gewählt, so kann hier eine zusätzlicheBenutzeridentifizierung vorgenommen werden.

Advanced Settings

In diesem Untermenu besteht die Möglichkeit, weitere Eigenschaften für dasWAN-Interface festzulegen, wie z.B. die Aktivierung von Callback oderChannel-Bundling. Eine Einstellung sollte auf jeden Fall gesetzt werden: Static ShortHold. Hier wird die Anzahl an Sekunden angegeben, nach denen die BinGO dieVerbindung trennen soll, wenn keine Daten mehr über die Leitung fließen.

❍

IP

Hier wird die IP-Konfiguration des LAN-Interface vorgenommen.Folgende Einträge sind durchzuführen:

IP Transit NetworkHier kann festgelegt werden, wie die BinGO ihre IP-Adresse erhalten soll:

von der Gegenstelle zugewiesen (dynamisch)■

statisch, dazu ist IP Transit Network auf ,,yes`` setzen■

❍

local ISDN IP AddressHier wird die LAN-IP-Adresse der BinGO eingetragen.(nur wenn IP Transit Network auf ,,yes`` gesetzt wurde.)

❍

Partner's ISDN IP AddressHier wird die IP-Adresse der Gegenstelle eingetragen.(nur wenn IP Transit Network auf ,,yes`` gesetzt wurde.)

❍

Advanced SettingsUnter diesem Menupunkt kann man noch weitere Einstellungen vornehmen. Sinnvoll istes hier, den Punkt Back Route Verify zu aktivieren, um sich vor gefälschten IP-Paketenzu schützen.

❍

●



Abbildung 4.4: NAT-Konfiguration

NAT auf dem ISDN-Interface konfigurieren

Zur Konfiguration von Network-Address-Translation muß man im Hautmenu den Punkt IPauswählen. Im folgenden Menu ist der Punkt Network Address Translation aufzurufen und dasInterface auswählen, das für NAT konfiguriert werden soll. In unserem Fall das WAN-InterfaceCameloT. Anschließend Network Address Translation auf ,,on`` setzen. Als nächstes aufADD gehen und in der jetzt erscheinenden Eingabemaske Service, Protokoll, Port undDestination eingeben. Abbildung 4.4 zeigt die durch NAT von außen zulässigen Dienste(22/tcp ist für SSH). Alle anderen Verbindungsanfragen von außen werden abgewiesen.

Abbildung 4.5: Konfiguration von IP Access Filtern

●

Access Listen (Paketfilter) auf dem LAN-Interface konfigurieren

Um auszuschließen, daß interne Rechner direkte Verbindungen zum Internet aufbauen können,wird im Hautmenu wieder IP ausgewählt und als nächstes Access Lists. Dann wird derMenupunkt Filter aufgerufen und mit ADD ein neuer Filter erzeugt. Abbildung 4.5 zeigt dieEintragungen für einen möglichen Filter.Nachdem man die Filter erzeugt hat, muß man im nächsten Menupunkt Rules Regelndefinieren, die beschreiben, was mit Paketen passieren soll, auf die die Filter zutreffen bzw. wasmit Pakten geschehen soll, wenn die Filter nicht zutreffen.Ich habe folgende Regeln definiert:

●



Zulassen von Paketen, die als Quell-IP-Adresse die des Bastion Host haben.❍

Zulassen von Paketen, die als Quell-IP-Adresse die des Proxy-Servers haben.❍

Abweisen aller IP-Pakete, auf die keine der beiden erstgenannten Regeln zu trifft.❍

Die letzte Regel muß nicht explizit definiert werden, da dies die BinGO standardmäßig macht(alles was nicht explizit erlaubt ist, ist verboten).

Im letzten Schritt muß noch das Interface, für das die Rules gelten sollen, festgelegt werden.Nach Verlassen des Rules-Menu kann der Punkt Interfaces ausgewählt werden. Als Interfacewird das LAN-Interface des Routers en1 gewählt und als erste Rule die eingetragen, die zuvorauch als erste erzeugt wurde. Das ist wichtig, da sonst nicht der gewünschte Effekt erzieltwerden kann.4.3 Jetzt können interne Rechner nur noch über den Proxy-Server Verbindungenins Internet aufbauen.

Damit ist die Konfiguration aber noch nicht ganz fertig. Im Menu IP muß man unter Routing noch dieDefault-Route setzen und unter Static Settings den eigenen Domainnamen und die IP-Adresse desNameservers eintragen (in unserem Fall die des Bastion Host).Nun ist die Konfiguration des Routers abgeschlossen.

Nächste Seite: Konfiguration des Bastion-Host Aufwärts: Praxisteil: Entwicklung und RealisationVorherige Seite: Firewall-Architektur Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Installation des Betriebssystems Aufwärts: Praxisteil: Entwicklung und RealisationVorherige Seite: Konfiguration des Routers Inhalt Index


UnterabschnitteInstallation des Betriebssystems

Installierte Komponenten❍

●


Konfiguration des DNS-Systems❍

Konfiguration des Mail-Systems❍

Konfiguration des Webserver❍

Konfiguration des HTTP-Proxy❍

Konfiguration von SSH❍

Konfiguration von Tripwire❍

●




Nächste Seite: Installierte Komponenten Aufwärts: Konfiguration des Bastion-Host VorherigeSeite: Konfiguration des Bastion-Host Inhalt Index

Installation des BetriebssystemsAls Installation wird die Minimal-Installation aus dem FreeBSD-Setup-Menu ausgewählt.

UnterabschnitteInstallierte Komponenten●




Nächste Seite: Konfiguration des DNS-Systems Aufwärts: Konfiguration des Bastion-HostVorherige Seite: Installierte Komponenten Inhalt Index

Konfiguration des BetriebsystemsObwohl FreeBSD in der standard Konfiguration schon sehr sicher ist, sollte man dennoch einigeProgramme deinstallieren und verschiedene Konfigurationsdateien ändern.

Root-Paßwort setzten1.

/etc/rc.conf editierenDiese Datei wird beim Systemstart gelesen. Durch die Eintragungen in /etc/rc.conf werdenwichtige Systemeinstellungen gesetzt. Wichtig ist das Setzen der Defaultroute, dazu muß dieVariable defaultrouter auf die IP-Adresse des LAN-Interface des ISDN-Routers gesetztwerden. Die Änderungen werden erst nach einem Neustart wirksam.Desweiteren sind noch folgende Änderungen zu machen:

Hostnamen des Bastion Host festlegen, z.B. intranet-server.my.domain.de .❍

Netzwerkkarte konfigurieren, d.h. IP-Adresse und Netmask setzen.❍

Den Portmapper-Dienst abschalten.❍

Sendmail abschalten.Wir verwenden qmail als Mailsystem.

❍

Inetd abschalten.Es werden keine Dienste angeboten, die bei Bedarf durch inetd gestartet werden müssten.Der SMTP- und der POP3-Server werden durch den inetd-Ersatz tcpserver gestartet(siehe Abschnitt 4.6.2.2).

❍

Nameserver mit den entsprechenden Parametern starten.Parameter: -u bind -g bind -b Konfigfile.Dies bewirkt, daß der Nameserver als User bind gestartet wird und als KonfigurationsfileKonfigfile liest.

❍

Den syslog-Daemon mit den entsprechenden Parametern starten. Nur der ISDN-Routerdarf zum syslogd connecten.Parameter -a IP-Adresse des ISDN-Routers.

❍

2.

Deinstallieren von ProgrammenJe nach dem welche Dienste der Bastion Host anbieten soll, können verschiedene Programmegelöscht werden, wie z.B. Programme, die zum UUCP- oder PPP-System gehören - wenn dieseDienste nicht benötigt werden.Einige Programme werden mit gesetzten UID- oder GID-Bit installiert. Mit dem Befehl find/ -perm -2000 -ls erhält man eine Liste mit allen Programmen, die das setuid-Bitgesetzt haben und mit find / -perm -4000 -ls alle Programme, die das setgid-Bitgesetzt haben. Alle Programme mit setuid oder setgid, die nicht verwendet werden, könnengelöscht werden.

3.

Unterabschnitte



Konfiguration des DNS-Systems●

Konfiguration des Mail-Systems●

Konfiguration des Webserver●

Konfiguration des HTTP-Proxy●

Konfiguration von SSH●

Konfiguration von Tripwire●

Nächste Seite: Konfiguration des DNS-Systems Aufwärts: Konfiguration des Bastion-HostVorherige Seite: Installierte Komponenten Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Ausblick Aufwärts: Schutzmaßnahmen Vorherige Seite: Konfiguration von Tripwire Inhalt Index

Schluß

UnterabschnitteAusblick●

Schlußbemerkung●


Schluß


Nächste Seite: Schlußbemerkung Aufwärts: Schluß Vorherige Seite: Schluß Inhalt Index

AusblickDiese Arbeit behandelt ausführlich, wie man ein LAN durch ein Firewallkonzept vor den Gefahreneines Internetanschlußes schützen kann. Dennoch wurden einige Themen nur kurz angesprochen, dadiese so umfangreich sind, daß man sie in einer eigenen Arbeit behandeln muß. Hierzu zählen z.B. derBereich Kryptographie oder Intusion Detection Systeme. Diese Themen werden in Zukunft stark anBedeutung gewinnen. Ein weiteres für die Zukunft höchst interessantes Thema ist die Anpassungbzw. die Entwicklung von Firewalls, in Zusammenhang mit der nächsten Generation desInternet-Protokolls (IPv6).


Ausblick


Nächste Seite: Literatur Aufwärts: Schluß Vorherige Seite: Ausblick Inhalt Index

SchlußbemerkungDurch die Anfertigung dieser Arbeit konnte ich meine Kentnisse im Bereich der Internettechnologiengründlich vertiefen. Dieses Wissen wird mir bei meiner weiteren beruflichen Zukunft sicher hilfreichsein.Abschließend möchte ich mich noch bei meinen Betreuern Frau Prof. Dr. rer. nat. U. Kirch-Prinz undHerrn Frank Bartels für die gute Zusammenarbeit bedanken. Dank gebührt auch meinem Bruder fürdas Korrekturlesen und nicht zu letzt meinen Eltern, die mir das Studium überhaupt erst ermöglichthaben.


Schlußbemerkung


Nächste Seite: Index Aufwärts: dip Vorherige Seite: Schlußbemerkung Inhalt Index

LiteraturCERT-1

An Analysis Of Security Incidents On The Internet 1989 - 1995 John, D. Howardhttp://www.cert.org/research/JHThesis/Start.html

CERT-2

- Security of the Internet - The Froehlich/Kent Encyclopedia of Telecommunications vol. 15. Marcel Dekker, New York 1997, pp. 231-255http://www.cert.org/encyc_article/tocencyc.html

fwstud

http://www.bsi.bund.de/literat/studien/fw-stud.htm - Firewallstudie im Auftrag des BSI - Andreas Bonnard, ChristianWolff, SIEMENS AG Zentralabteilung Technik ZT IK 3

CA-96.21

- TCP SYN Flooding and IP Spoofing Attacks - http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html

sii

- http://www.sicherheit-im-internet.de/ -

RIPE

- RIPE Network Coordination Centre http://www.ripe.net/ -

ca-99.02

- Trojan-Horses - http://www.cert.org/advisories/CA-99-02-Trojan-Horses.html

bsi-1

- http://www.bsi.de/literat/viren/ -

ca-99.04

- Melissa-Macro-Virus - http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html

FSI-96

- Firewalls und Sicherheit im Internet - William R. Cheswick, Steven M. Bellovin, S 26,S 27,S 35, 36, S 37,S 42, S 61, S 142, S 144, S 194

worm

Literatur


http://www.cert.org/research/JHThesis/Start.html

http://www.cert.org/encyc_article/tocencyc.html

http://www.bsi.bund.de/literat/studien/fw-stud.htm

http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html

http://www.sicherheit-im-internet.de/

http://www.ripe.net/

http://www.cert.org/advisories/CA-99-02-Trojan-Horses.html

http://www.bsi.de/literat/viren/


- Internet Worm - ftp://coast.cs.purdue.edu/pub/Purdue/papers/spafford/spaf-IWorm-paper-CCR.ps.Z

CT-8/99

- Sicherheitslücke im InternetExplorer 5 - CT 8/99 S 27

CT-3/99

- Warnung vor gefälschter EMail - CT 3/99 S. 143

RuG91

- Computer Security Basics - Deborah Russel and G. T. Gangemi O'Reilly & Associates, Inc. 1991

RFC-1858

- RFC 1858 - http://www.rfc-editor.org/ -

CA-96.26

- Denial-of-Service Attack via ping - http://www.cert.org/advisories/CA-96.26.ping.html

Morris-85

- A Weakness in the 4.2 BSD Unix TCP/IP Software - Robert T. Morris,ftp://ftp.research.att.com/dist/internet_security/117.ps.Z

Bellovin-89

- Security Problems in the TCP/IP Protocol Suite - S. M. Bellovinftp://ftp.research.att.com/dist/internet_security/ipext.ps.Z

CA-97.28

- IP Denial-of-Service-Attacks - http://www.cert.org/advisories/CA-97.28.Teardrop_Land.html

CA-95.01

- IP Spoofing Attacks and Hijacked Terminal Connections -http://www.cert.org/advisories/CA-95.01.IP.spoofing.attacks.and.hijacked.terminal.connections.html

CA-96.01

- UDP Port Denial-of-Service Attack - http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html

BIF-96

- Building Internet Firewalls - D. Brent Chapman, Elizabeth D. Zwicky, S 18, S 66, S 149, S 218, S 221, S 224, S 225, S 312

CA-94.15

- NFS Vulnerabilities - http://www.cert.org/advisories/CA-94.15.NFS.Vulnerabilities.html

CA-95.03a

- Telnet encryption vulnerability -

Literatur


ftp://coast.cs.purdue.edu/pub/Purdue/papers/spafford/spaf-IWorm-paper-CCR.ps.Z

http://www.rfc-editor.org/

http://www.cert.org/advisories/CA-96.26.ping.html

ftp://ftp.research.att.com/dist/internet_security/117.ps.Z

ftp://ftp.research.att.com/dist/internet_security/ipext.ps.Z

http://www.cert.org/advisories/CA-97.28.Teardrop_Land.html

http://www.cert.org/advisories/CA-95.01.IP.spoofing.attacks.and.hijacked.terminal.connections.html

http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html

http://www.cert.org/advisories/CA-94.15.NFS.Vulnerabilities.html

http://www.cert.org/advisories/CA-95.03a.telnet.encryption.vulnerability.html

CA-95.14

- Telnetd Environment Vulnerability -http://www.cert.org/advisories/CA-95.14.Telnetd_Environment_Vulnerability.html

CA-97.27

- FTP Bounce - http://www.cert.org/advisories/CA-97.27.FTP_bounce.html

CA-FTP-Port

- Problems With The FTP PORT Command - ftp://ftp.cert.org/pub/tech_tips/FTP_PORT_attacks

CA-91.18

- Acitve Internet tftp Attacks - http://www.cert.org/advisories/CA-91.18.Active.Internet.tftp.Attacks.html

CA-88.01

- ftpd vulnerability - http://www.cert.org/advisories/CA-88.01.ftpd.hole.html

CA-94.08

-ftpd Vulnerabilities - http://www.cert.org/advisories/CA-94.08.ftpd.vulnerabilities.html

CA-95.16

- wu-ftpd Misconfigruation Vulnerability - http://www.cert.org/advisories/CA-95.16.wu-ftpd.vul.html

CA-97.26

ftpd Signal Handling Vulnerability http://www.cert.org/advisories/CA-97.16.ftpd.html

CA-99.03

Advisory CA-99-03-FTP-Buffer-Overflows http://www.cert.org/advisories/CA-99-03-FTP-Buffer-Overflows.html

Black-95

TCP/IP and Related Protocols, Uyless Black, McGraw-Hill, Inc. 1995

CT-14/99

- Sicherheitslücke im Internet Information Server CT, S. 19

CA-99.07

- IIS Buffer Overflow - http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html

uucp

- Manging UUCP and Usenet - Tim O'Reilly, Grace Todino, O'Reilly & Associates, Inc. 1991

CA-97.11

Literatur


http://www.cert.org/advisories/CA-95.03a.telnet.encryption.vulnerability.html

http://www.cert.org/advisories/CA-95.14.Telnetd_Environment_Vulnerability.html

http://www.cert.org/advisories/CA-97.27.FTP_bounce.html

ftp://ftp.cert.org/pub/tech_tips/FTP_PORT_attacks

http://www.cert.org/advisories/CA-91.18.Active.Internet.tftp.Attacks.html

http://www.cert.org/advisories/CA-88.01.ftpd.hole.html

http://www.cert.org/advisories/CA-94.08.ftpd.vulnerabilities.html

http://www.cert.org/advisories/CA-95.16.wu-ftpd.vul.html

http://www.cert.org/advisories/CA-97.16.ftpd.html

http://www.cert.org/advisories/CA-99-03-FTP-Buffer-Overflows.html

http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html

- Vulnerability in libXt - http://www.cert.org/advisories/CA-97.11.libXt.html

CA-93.17

- xterm Logging Vulnerability - http://www.cert.org/advisories/CA-93.17.xterm.logging.vulnerability.html

Hunt-98

TCP/IP Network Administration, Second Edition, Craig Hunt, O'Reilly & Associates, Inc.

Huit

Routing im Internet, Huitema Ch, Prentice Hall 1996

LdD-V.7.0

- Lexikon der Datenkommunikation, V.7.0 - http://www.datacom-bookstore.de/default.html

SKI

Sicherheitskonzepte für das Internet, Martin Raepple S.6

SiI

Sicherheit im Internet, Othmar Kyas, S 177, S 283

Schneier

Applied Cryptography: Protokols, Algorithms, and Source Code in C, Schneier Bruce, NY: John Wiley & Sons, 1996

PUIS

Practical Unix & Internet Securitya, Simson Garfinkel und Gene Spafford, 2. Auflage April 1996 S 578


Literatur


http://www.cert.org/advisories/CA-97.11.libXt.html

http://www.cert.org/advisories/CA-93.17.xterm.logging.vulnerability.html

http://www.datacom-bookstore.de/default.html

Aufwärts: dip Vorherige Seite: Index Inhalt Index

Über dieses Dokument ...This document was generated using the LaTeX2HTML translator Version 99.2beta4 (1.35)

Copyright © 1993, 1994, 1995, 1996, Nikos Drakos, Computer Based Learning Unit, University ofLeeds.Copyright © 1997, 1998, 1999, Ross Moore, Mathematics Department, Macquarie University,Sydney.

The command line arguments were:latex2html -tmp TMP/ dip.tex

The translation was initiated by Klaus Bauer on 1999-10-20


Über dieses Dokument ...


http://www-dsed.llnl.gov/files/programs/unix/latex2html/manual/

http://cbl.leeds.ac.uk/nikos/personal.html

http://www.maths.mq.edu.au/~ross/

Nächste Seite: FSP - File Service Aufwärts: Dateitransfer Vorherige Seite: TFTP - Trivial File Inhalt Index

FTP - File Transfer Protokoll RFC 959

FTP wurde entwickelt, folgende Aufgaben zu erfüllen:

Bereitstellung von Files für andere Rechner oder BenutzerAuf FTP-Server werden Datein (Dokumente, Programme) der Internetgemeinde zum Downloadbereitgestellt (anonymous-ftp).

●

Transparenz für den AnwenderDer User muß keine Kenntnis über das Betriebssytem haben, auf das er per FTP zugreifen will,es reicht aus, die FTP-Kommandos zu kennen. Der FTP-Server übernimmt die Umsetzung derFTP-Befehle in die entsprechenden Kommandos des Betriebssystems.

●

Zuverlässige und effizente DatenübertragungFTP stellt Mechanismen bereit, die eine fehlerfreie und effektive Datenübertragungermöglichen. Mit FTP können viele verschiedene Dateitypen, z.B. ausführbare Programme,ASCII-Texte, Audio-Files etc., übertragen werden.

●

Es gibt zwei Arten von FTP: User FTP und Anonymous-FTP. Bei User-FTP muß sich der Benutzermit seinem Loginnamen und Passwort auf dem Server anmelden. Er erhält dann die gleichenZugriffsrechte, wie wenn er sich direkt auf dem Server eingeloggt hätte, z.B. über ein Terminal. BeiAnonymous-FTP kann sich jede Person auf dem Server einloggen. Als Loginname muß man meistensAnonymous und als Passwort eine EMailadresse eingeben. Man hat dann i.d.R. auf den öffentlichenTeil des FTP-Servers Zugriff. Anonymous-FTP ist ein wichtiger Dienst im Internet, da dadurchProgramme oder Dokumentationen für alle Internetbenutzer bereitgestellt werden können.

FTP benötig zwei separate TCP-Verbindungen: eine um Kommandos und Antworten zwischen Clientund Server zu übertragen (command channel), und eine weitere um die Daten auszutauschen (datachannel). Auf der Serverseite wird für den command channel normalerweise der Port 21 verwendetund für den data channel Port 20. Um eine FTP-Verbindung im active-mode aufzubauen, sindfolgende Schritte notwendig:

Ports anfordern durch den ClientDer Client fordert zwei TCP-Ports 1024 vom Betriebssystem an. Einen für den command

channel und den anderen für den data channel. Der Client benützt den ersten Port für denKommandokanal. Dann teilt der Client dem Server mit, daß er den zweiten Port für denDatenkanal verwenden möchte. Dazu wird das FTP-Kommando PORT verwendet.

1.

Bestätigung durch den ServerDer Server bestätigt den Empfang des Daten-Ports vom Client.

2.

Verbindungsaufbau durch den ServerDer Server baut dann die Datenverbindung zum Clienten auf. Dies ist aus Sicherheitsgründenbedenklich, da von außen eine Verbindung aufgebaut wird. Dadurch ist es möglich, eineFirewall zu umgehen (Tunneling).

3.



Bestätigung durch den ClientAbschließend nimmt der Client die Verbindungsanfrage für den Datenkanal vom Serverentgegen.

4.

Es gibt noch eine zweite Methode, eine FTP-Verbindung aufzubauen, den passive mode.Im Unterschied zum active mode wird hier keine Verbindung von außen aufgebaut, sondern derServer teilt dem Client mit, welchen Port ( 1023) er für den Datenkanal benutzen möchte.

In Abbildung 2.9 ist eine FTP-Verbindung im active mode und in Abbildung 2.10 eineFTP-Verbindung im passive mode dargestellt.

Abbildung 2.9: Active-mode FTP Verbindung, Quelle: [BIF-96]



Abbildung 2.10: Passive-mode FTP Verbindung, Quelle: [BIF-96]

Aber FTP ist nicht ohne Risiken:

Bounce Attack, Tunneling

Dieser Angriff beruht auf dem FTP-Kommando PORT. Ein Angreifer sendet mit demPort-Befehl, die IP-Adresse und die Portnummer (also den Dienst, z.B. 25 für SMTP oder 23für TELNET) der Maschine, die angegriffen werden soll, an einen FTP-Server. Danach kannder Client den Server veranlassen, ein File mit Kommandos, die der angegriffene Dienstversteht (z.B. SMTP-Kommandos), an die mit dem Port-Befehl angegebene IP-Adresse,zuschicken. Da der Client sein Opfer nicht direkt, sondern über einen andern Rechner angreift,ist es sehr schwierig, den Angreifer zurückzuverfolgen. Dieser Angriff wird auch als Tunnelnbezeichnet.In Abbildung 2.11 ist dieser Angriff dargestellt. Weitere Informationen zu dieser Methode sindin [CA-97.27], [CA-FTP-Port] und in RFC 2577 zu finden.

●



Abbildung 2.11: FTP-PORT-Angriff

Passwort-Attacken

FTP eignet sich gut um Passwörter auszuprobieren, da in der standard Konfiguration keineBeschränkung zur Eingabe von Passwörtern besteht, d.h., man kann beliebig oft versuchen, einPasswort anzugeben. Diese Attacke wird auch als brute force-Angriff bezeichnet. Bei manchenFTP-Servern ist es möglich, gültige Loginnamen herauszufinden. Gibt man einen ungültigenLoginnamen an, so antwortet der Server mit dem Code 530.

●

Paket-sniffing

Da FTP die Daten im Klartext überträgt, kann ein Angreifer durch mitlesen desNetzwerktraffics in den Besitzt von Benutzerdaten gelangen.

●

Softwarefehler

In FTP-Server-Programmen wurden immer wieder Sicherheitslücken gefunden, die esAngreifer ermöglichten, in ein System einzubrechen. Eine optionale Erweiterung von FTP,,,SITE EXEC``, ermöglicht es FTP-Clients, beliebige Kommandos auf dem Server auszuführen.In [CA-95.16] und [CA-94.08] sind zwei Fälle dokumentiert, bei denen der ,,SITE EXEC``Befehl für Angriffe eingesetzt wurde.Weitere Attacken wurden durch FTP-Software, die mit aktiviertem Debugmodus installiertworden war ermöglicht, siehe dazu [CA-88.01].

●

Konfigurationsfehler●



Auch durch Konfigurationsfehler bei der Installation des FTP-Servers können Hacker in einSystem einbrechen. Wenn die Zugriffsrechte für ,,anonymous``-FTP nicht richtig konfiguriertsind, ist z.B. folgender Angriff denkbar: ,,Man schreibt ein Datei namens .rhosts mitgeeignetem Inhalt in das Heimatverzeichnis von ftp. Damit kann man nun mittels rsh eineSitzung als ftp auf der Zielmanschine starten`` [FSI-96].Eine weitere Gefahr besteht darin, daß ein Angreifer durch FTP in Besitz der Passwortdateikommt.

Softwareupload

Auf vielen FTP-Server kann man mit der Anonymous-Kennung Software aufspielen(uploaden). Ein Angreifer könnte manipulierte Software auf einem Server ablegen(Viren,Trojaner, siehe Abschitt 2.7.3 und Abschnitt 2.3). Anwender könnten einenAnonymous-FTP-Server zum Austausch von Raubkopien mißbrauchen. Dies wäre zwar keinedirekte Bedrohung, aber es könnte dem Betreiber des Servers doch jede MengeUnannehmlichkeiten bereiten, wie z.B. rechtliche Konsequenzen oder Imageverlust.

●

Softwaredownload

Das Herunterladen von Files aus dem Internet kann die Sicherheit eines Computersystemsgefährden. Man könnte einen Trojaner oder einen Virus (siehe Abschnitt 2.3 bzw.Abschitt 2.7.3) auf das eigene System geladen haben.

●

Nächste Seite: FSP - File Service Aufwärts: Dateitransfer Vorherige Seite: TFTP - Trivial File Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Screened Host Architektur Aufwärts: Firewall-Architekturen Vorherige Seite:Firewall-Architekturen Inhalt Index

Dual-Homed Host Architektur

Für diese Firewall-Architektur benötigt man einen ,,Dual-Homed`` Host, der zugleich Bastion Hostist. Dieser könnte als Router zwischen dem LAN und dem Internet fungieren. Da jedoch keine direkteIP-Verbindung zwischen dem internen Netzwerk und dem Internet möglich sein soll, muß dasRouting auf dem Bastion Host abgeschaltet werden. Der Dual-Homed Host kann durch Proxy-Server(circuit oder application) den internen Hosts seine Dienste anbieten. Eine andere Möglickkeit wärenUser-Accounts auf dem Bastion Host. Dies ist aber eine denkbar schlechte Lösung, da dadurch dieSicherheit der Firewall beintächtigt wird. Z.B. können Accounts mit schlechte Passwörtern geknacktwerden oder die Benutzer gefährden durch ihr Verhalten die Sicherheit des Bastion Host: Downloadvon Trojanern und Viren. Der Aufbau eines Bastion Host wird in Abschnitt 3.2.4.5 detailliertbeschrieben. Abbildung 3.4 stellt den prinzipiellen Aufbau einer Dual-Homed Host Firewall dar.

Abbildung 3.4: Dual-Homed Host Architektur, Quelle [BIF-96] S. 64


Dual-Homed Host Architektur


Nächste Seite: Screened Subnet Architektur Aufwärts: Firewall-Architekturen Vorherige Seite: Dual-HomedHost Architektur Inhalt Index

Screened Host Architektur

In dieser Firewall-Konstruktion ist der Bastion Host nicht direkt mit dem Internet verbunden und damit auch nichtdirekt angreifbar. Dadurch bietet dieser Aufbau mehr Sicherheit als die Dual-Homed Host Architektur. DieAnbindung an das Internet erfolgt durch einen separaten Router. Abbildung 3.5 zeigt eine einfache Screened HostArchitektur.

Abbildung 3.5: Screened Host Architektur, Quelle [BIF-96] S. 65

Der größte Sicherheitsbeitrag wird hier durch Paketfilterung auf dem Router erbracht. Die Filterregeln sind dabeiso zu wählen, daß nur der Bastion Host von außen (aus dem Internet) zu erreichen ist. Außerdem kann der BastionHost zulässige Verbindungen zum Internet aufbauen (was zulässig ist, wird im Netzwerksicherheitskonzeptfestgelegt).

Die Filterregeln zur Kontrolle der internen Hosts können eine der beiden folgenden Möglichkeiten verwirklichen[BIF-96]:

Bestimmte Dienste direkt zulassenInterne Hosts können entsprechend den Filterregeln bestimmte Verbindungen mit dem Internet aufbauen.

●

Keine direkte Verbindung zulassenDie internen Hosts müssen den Bastion Host kontaktieren, der mit Hilfe von Proxy-Servern Diensteanbietet.

●



Nächste Seite: Screened Subnet Architektur Aufwärts: Firewall-Architekturen Vorherige Seite: Dual-HomedHost Architektur Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Mischformen Aufwärts: Firewall-Architekturen Vorherige Seite: Screened Host Architektur Inhalt Index

Screened Subnet Architektur

Diese Firewall-Anordnung erweitert die vorher beschriebene Screened Host Architektur um eine zusätzlicheSicherheitsschicht: Perimeter Netzwerk (Grenznetz).Da Bastion Hosts von Natur aus das erste Angriffsziel sind, erreicht man einen deutlichen Sicherheitsgewinn,wenn man sie in ein eigenes Netz, das Perimeter Network oder Grenznetz, stellt. Abbildung 3.6 zeit eine ScreenedSubnet Architektur.

Abbildung 3.6: Screened Subnet Architektur (mit zwei Routern), Quelle: [BIF-96], S. 68

Die einzelnen Komponenten erfüllen folgende Aufgaben:

Perimeter NetworkEs fungiert als Trennschicht zwischen dem internen Firmen-LAN und dem Internet. Dadurch wird erreicht,daß selbst dann wenn ein Angreifer erfolgreich in den Bastion Host eingedrungen ist, nur der Netztraffic desPerimter Network mitgelesen werden kann. Der Traffic im internen LAN kann also nicht mitgelesenwerden.

●

Bastion HostDer Bastion Host stellt die Schnittstelle zwischen dem internen LAN und dem Internet dar. AusgehendeDienste werden wie folgt realisiert:

PaketfilterDurch geeignete Filterregeln werden für bestimmte Dienste direkte Verbindungen mit dem Internet

❍

●



erlaubt.

Proxy-ServerDie internen Hosts nutzen über Proxy-Server auf dem Bastion Host die Internet-Dienste. DurchPaketfilter auf dem interior Router werden den internen Clients nur Verbindungen zum Bastion Hosterlaubt und umgekehrt darf nur der Bastion Host Verbindungen ins interne LAN aufbauen.

Dem Bastion Host ist es in beiden Fällen erlaubt Verbindungen ins Internet aufzubauen undanzunehmen.

❍

Interior RouterSchützt das LAN vor dem Grenznetz und dem Internet. Nur die Dienste, die tatsächlich benötigt werdensind zugelassen.

●

Exterior RouterSchützt die Rechner im Grenznetz: den Bastion Host und den interior Router. Da der Exterior Router diedirekte Schnittstelle mit dem Internet darstellt, kann er leicht Pakete mit gefälschten IP-Adressen erkennen;also solche Pakete die von außen ankommen und eine interne IP-Adresse als Source-IP haben(IP-Spoofing).

●

Nächste Seite: Mischformen Aufwärts: Firewall-Architekturen Vorherige Seite: Screened Host Architektur Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Konfiguration von SSH Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des Webserver Inhalt Index

Konfiguration des HTTP-Proxy

Um den internen Maschinen im LAN die Nutzung des WWW zu ermöglichen, wird auf dem BastionHost zur Performance-Verbesserung ein HTTP-Proxy-Server installiert. Als Proxy-Server kommtder Squid-Server in der Version 2.2 zum Einsatz. Squid kann im Internet unterhttp://squid.nlanr.net/Versions/v2/2.2/ heruntergeladen werden.Der Squid-Proxy beherrscht folgende Protokolle:

HTTP●

FTP●

GOPHER●

SSL●

WAIS●

Der Squid-Server wird so konfiguriert, daß er auf einem TCP-Port 1023 auf HTTP-Anfragen

wartet. Durch die Verwendung eines unprivilegierten Ports muß der Server nicht als root laufen. Zureinfacheren Administration empfiehlt es sich einen eigenen ,,Squid``-User in /etc/passwd und eine,,Squid``-Gruppe in /etc/groups anzulegen. Der Proxy wird dann unter der Userid ,,squid`` gestartet.

Als TCP-Port, auf dem der Squid-Server auf Verbindungsanfragen wartet, wird 8080 gewählt. Damitdie Clients den Proxy nutzen können, muß man sie entsprechend konfigurieren. Die HTTP-Clients,Netscape und MS-Internet-Explorer können entweder manuell zur Benutzung eines Proxy-Serverskonfiguriert werden oder automatisch durch ein Java-Skript. Ich habe ein Java-Skript geschrieben, dasdie Clients entsprechend konfiguriert. Das Skript muß auf einem Webserver eingerichtet werden. Zurautomatischen Proxykonfiguration des Webbrowsers muß die URL, unter der das Skript zu erreichenist, als ,,Konfigurationsadresse`` im Browser eingetragen werden. Abbildung 4.6 zeigt, wie man beimNetscape Communicator die automatische Proxykonfiguration einstellt.

Abbildung 4.6: Automatische Proxykonfiguration beim



http://squid.nlanr.net/Versions/v2/2.2/

Netscape Communicator

Java-Skript zur automatischen Proxykonfiguration von Web-Clients:

function AutomaticProxyConf(url, host) { if (isInNet(host, "127.0.0.0", "255.0.0.0") || isInNet(host, "10.0.0.0", "255.0.0.0") || isInNet(host, "172.16.0.0", "255.240.0.0") || isInNet(host, "192.168.0.0", "255.255.0.0") ) return "DIRECT"; else if (url.substring(0, 5) == "http:" || url.substring(0, 4) == "ftp:" || url.substring(0, 7) == "gopher:" || url.substring(0, 5) == "wais:") { return "PROXY proxy.domain.de:8080"; } else { return "DIRECT"; } }

Die IP-Adressen und der Hostname des Proxy-Servers inclusive TCP-Port in dem Skript sind nurBeispiele für mögliche Einträge. Um das Java-Skript in der Praxis einsetzen zu können, müssen dieseEinträge entsprechend den tatsächlichen Gegebenheiten gesetzt werden.Der Squid-Proxy-Server besitzt die Möglichkeit, durch Access Listen den Zugriff auf bestimmteWebseiten, Domains oder Protokolle zu kontrolieren. Weitere Informationen zu Squid sind auf derSquid-Homepage unter http://squid.nlanr.net/ zu finden.Damit der Proxy-Server automatisch beim Booten des Betriebssytems gestartet wird, habe ich einentsprechendes Shell-Skript geschrieben. Vor dem ersten Start muß squid mit der Option ,,-z``aufgerufen werden. Squid legt dabei die ,,cache-`` und ,,swap-``Directories an und beendet sichwieder. Erst nach diesem letzten Konfigurationsschritt kann der Squid-Server seinen Dienstaufnehmen.

Nächste Seite: Konfiguration von SSH Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des Webserver Inhalt Index Klaus Bauer 1999-10-20



http://squid.nlanr.net/

Nächste Seite: IP-Protokoll Aufwärts: Firewall-Architekturen Vorherige Seite: Mischformen Inhalt Index


Der Bastion Host ist der zentrale Bestandteil einer Firewall, deshalb muß man bei seinerKonfiguration besonders vorsichtigt vorgehen.Zu folgenden Punkten sollte man sich vor der Installation Gedanken machen:

HardwareDa der Bastion Host die wichtigste Maschine für den Internetzugang ist sollte man nicht dieneuesten Hardwarekomponenten verwenden, sondern auf bewährte Hardware zurückgreifen.Der Rechner sollte über möglichst viel RAM verfügen ( 64Mbyte ). Die Festplatten sollten

auch großzügig ausgelegt werden.

●

BetriebssystemDas verwendete Betriebssystem sollte auch unter großer Last noch zuverlässig und stabillaufen. Außerdem sollte guter Support verfügbar und eine schnelle Fehlerbehebung garantiertsein.

●

StandortDer physikalische Standort des Bastion Host sollte so gewählt werden, daß nur befugtePersonen (Systemadministratoren) Zugang zu der Maschine haben.

●

Bei der Installation des Betriebssystems gilt es auch einige Dinge zu beachten, damit der Bastion Hostdas höchst mögliche Maß an Sicherheit erhält:

Minimal Installation des OSEs empfiehlt sich eine minimale Installation des Betriebsystems durchzuführen, da man dannspäter weniger Programme deintallieren muß.

●

Alle bekannten BUGS fixenFür viele Betriebssyteme gibt es im Internet Checklisten, die auf bekannte Fehler des jeweiligenOS hinweisen. Auf der Homepage des OS-Herstellers finden sich dazu meist weitere aktuelleInformationen und Empfehlungen. Das CERT (http://www.cert.org) ist eine weiteregute Quelle um sein System auf bekannte Fehler zu überprüfen.

●

Keine User accountsNormalerweise sollte man keine Accounts auf dem Bastion Host anlegen (ausser denen, die fürden Betrieb notwendig sind). Die Sicherheit des Systems wird durch Useraccountsbeeinträchtigt, da die Accounts angreifbar sind. Die Zuverlässigkeit und die Stabilität desBastion Host kann durch Fehlverhalten von Usern beeinträchtigt werden. Benötigt man jedochUseraccounts auf dem Bastion Host, so sollten diese möglichst eingeschränkt werden, d.h. nursoviele Rechte und Dienste wie unbedingt notwendig sind.

●

Überflüssige Programme deinstallierenAlle Programme, die nicht zum Betrieb des Bastion Host benötigt werden, sollte man entfernen,z.B. Compiler, Interpreter, Shells usw.

●

Loging Informationen●



http://www.cert.org/

Alle Aktivitäten auf dem Bastion Host sollten protokolliert werden.

In den folgenden Abschnitten werden die verschiedenen Protokolle und Internetservices daraufhinuntersucht, ob ihr Einsatz vom Sicherheitsstandpunkt aus vertretbar ermöglicht werden kann odernicht.

HINWEIS:Alle nachfolgend angebebenen Filterregeln sind folgendermaßen zu interpretieren: Alles was nichtexplizit erlaubt ist, ist verboten.

Nächste Seite: IP-Protokoll Aufwärts: Firewall-Architekturen Vorherige Seite: Mischformen Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: DNS - Domain Name Aufwärts: Dateitransfer Vorherige Seite: FTP - File Transfer Inhalt Index

FSP - File Service Protokoll

FSP bietet einen ähnlichen Dienst wie FTP an. Das FSP Protokoll wurde entwickelt, um einigeEinschränkungen von FTP zu umgehen. Z.B. kann nur der Superuser einen FTP-Server aufsetzen, dadieser privilegierte Ports benutzt. Normale User könnten aber einen FSP-Server betreiben. VomSicherheitsstandpunkt aus betrachtet, hat FSP ähnliche Risiken wie von FTP.Dieses Protokoll hat aber keine allzu große Bedeutung und ist hier nur der Vollständigkeit halberaufgeführt.


FSP - File Service Protokoll


Nächste Seite: DNS Aufwärts: Dateitransfer Vorherige Seite: FTP Inhalt Index

FSP

FSP verwendet UDP als Transportprotokoll. FSP-Sever verwenden keinen Standardport; jeder dereinen FSP-Server startet, kann sich dessen Portnummer aussuchen. FSP-Clients laufen mitPortnummern 1023.

FSP kann nur mit dynamischen Paketfiltern kontrolliert werden. Im Allgemeinen gibt es keinen GrundFSP zuzulassen, solange man FTP anbietet.


FSP


Nächste Seite: FSP Aufwärts: Dateitransfer Vorherige Seite: TFTP Inhalt Index

FTP

Wie in Abschintt 2.15.3.2 beschrieben, benötigt FTP zwei TCP Verbindungen. FTP Server verwenden die TCP-Ports 20

(data-channel) und 21 (command-channel). Die Client-Programme arbeiten mit Portnummern 1023.

In Tabelle 3.7 sind die notwendigen Filterregeln die FTP zulassen aufgeführt.

Tabelle 3.7: FTP-Filterregeln, Quelle: [BIF-96] S. 226

Durch diese Filterregeln ist man im normalen FTP-Modus (akive-mode) aber nicht vor Bounce-Angriffen auf Portnummern1023 geschützt. Dynamische Paketfilter sind allerdings in der Lage FTP auch im aktive-mode abzusichern.

Wenn man nicht auf ein dynamisches Paketfiltersystem zurückgreifen kann, empfiehlt sich der Einsatz einesFTP-Proxy-Servers.Zusammenfassend geben Chapman und Zwicky in [BIF-96] folgende Empfehlungen zu FTP:

Wenn die internen FTP-Clients passive mode unterstützen, dann kann man ausgehende FTP-Verbindungen durchPaketfiler hindurch zulassen.

●

Unterstützen die internen Clients nicht den passive mode, muß man einen FTP-Proxy-Server einsetzen.●

Eine Kombination aus Paketfilter (für passive mode) und FTP-Proxy (für active mode) stellt eine gute Lösung dar.●

Wenn eingehende FTP-Verbindungen zugelassen werden sollen, ist darauf zu achten, daß nur der Bastion Hosterreicht werden kann. Dazu kann man einen Paketfilter entsprechend konfigurieren.

●

Man sollte immer einen ,,up-to-date`` FTP-Server verwenden.●

Bei der Konfigurtion ist darauf zu achten, daß die Zugriffsrechte korrekt gesetzt werden.●

Nächste Seite: FSP Aufwärts: Dateitransfer Vorherige Seite: TFTP Inhalt Index Klaus Bauer 1999-10-20

FTP


Nächste Seite: FTP Aufwärts: Dateitransfer Vorherige Seite: Dateitransfer Inhalt Index

TFTP

TFTP ist ein sehr einfaches Protokoll zum Übertragen von Dateien. Es sieht keinerleiAuthentisierungsmechanismen vor. Normalerweise nutzen diskless Workstations TFTP zum Booten.Es gibt keinen Grund TFTP nach außen anzubieten. Werden keine Rechner eingesetzt, die zumBooten TFTP benötigen, sollte man diesen Dienst auch intern nicht anbieten.

Soll dieser Dienst dennoch angeboten werden, kann man einen Paketfilter mit den Filterregeln inTabelle 3.6 aufsetzen.

Tabelle 3.6: TFTP-Filterregeln, Quelle: [BIF-96] S. 235


Ein Extern Intern UDP 1023 69 Eingehende TFTP-Anfrage

Aus Intern Extern UDP 69 1023 Antwort auf Eingehende Anfrage

Aus Intern Extern UDP 1023 69 Ausgehende TFTP-Anfrage

Ein Extern Intern UDP 69 1023 Antwort auf Ausgehende TFTP-Anfrage

Nächste Seite: FTP Aufwärts: Dateitransfer Vorherige Seite: Dateitransfer Inhalt Index KlausBauer 1999-10-20

TFTP


Nächste Seite: FTP - File Transfer Aufwärts: Dateitransfer Vorherige Seite: Dateitransfer Inhalt Index

TFTP - Trivial File Transfer Protokoll RFC 1350

TFTP ist ein sehr gefährlicher Dienst, da keine Benutzerauthentisierung vorgesehen ist. Es stellt zweiFunktionen bereit:

Lesen von Files1.

Schreiben von Files2.

Die meisten TFTP-Implementierungen nutzen UDP auf Port 69. Hauptsächlich wird es zum Bootenvon Diskles-Workstations und X-Terminals eingesetzt.

Bei einigen älteren TFTP-Implementationen war es nicht möglich, den Zugriff auf bestimmteBereiche des Dateisystems einzuschränken. Da, wie oben schon erwähnt, keine Authentisierungnotwendig ist, kann sich ein Angreifer wichtige Files per TFTP besorgen, z.B. Passwortdatei,Hostfile. Mit diesen Daten können dann weitere Angriffe gestartet werden. Siehe dazu auch[CA-91.18].


TFTP - Trivial File Transfer Protokoll RFC 1350


Nächste Seite: Konfiguration des Mail-Systems Aufwärts: Konfiguration des BetriebsystemsVorherige Seite: Konfiguration des Betriebsystems Inhalt Index

Konfiguration des DNS-Systems

Der Nameserver wird so konfiguriert, daß er alle Anfragen, die er nicht selbst beantworten kann, anden Nameserver des ISP weiterleitet (forward only). Dadurch wird verhindert, daß der DNS-Serverselbst eine Verbindung zu anderen Nameservern aufbaut. Zonentransfers sind nur mit dem DNS desInternetproviders zulässig. Der DNS beantwortet keine Anfragen von Maschienen, die nicht im LANsind. Dadurch wird erreicht, daß die interne Netzstruktur (IP-Adressen, Hostnamen) nicht von außenabfragbar ist.Auf dem Bastion Host muß die Datei /etc/resolv.conf editiert werden, damit die Maschine ,,weiß``,wo der Nameserver zu finden ist:domain my.domain-intern.denameserver 127.0.0.1Die übrigen Maschinen im LAN müssen natürlich auch entsprechend Konfiguriert werden. Damit derDNS-Server beim Systemstart automatisch gestartet wird, muß in /etc/rc.conf ein entsprechenderEintrag gemacht werden:

named_enable="YES" named_programm="named" named_flags="-u bind -g bind -b /etc/namedb/named.conf"

Dies bewirkt, daß der Nameserver als User bind und Gruppe bind gestartet wird und alsKonfigurationsfile die Datei in /etc/namedb/named.conf liest. Beim Konfigurieren von named istdarauf zu achten, daß der User bind und die Gruppe bind in /etc/namedb die entsprechendenZugriffsrechte haben.

Nächste Seite: Konfiguration des Mail-Systems Aufwärts: Konfiguration des BetriebsystemsVorherige Seite: Konfiguration des Betriebsystems Inhalt Index Klaus Bauer 1999-10-20

Konfiguration des DNS-Systems


Nächste Seite: POP - Postoffice Protokoll Aufwärts: EMail Vorherige Seite: SMTP-Protokoll -Simple Mail Inhalt Index

MIME-Extensions - Multipurpose Internet Mail Extensions RFC1521

Mit SMTP kann man nur Text versenden, der dem US-ACII-Zeichensatz entspricht. Um dieseBeschränkung zu umgehen wurde das MIME-Protokoll entwickelt. Dadurch wurde es möglich,Bilder, Audiofiles oder Binärdaten per Mail zu versenden. Durch diese Erweiterung entstehenverschiedene Sicherheitsbedrohungen:

Steuerung des MailprogrammsDurch MIME-kodierte Nachrichten kann man ein Mailprogramm Aktionen ausführen lassen,sofern das Mailprogramm MIME beherrscht. Als Beispiel der folgende Ausschnitt aus[FSI-96]:

Content-Type: Message/External-body; name="rfc1480.txt"; site="ds.internic.net"; access-type="anon-ftp"; directory="rfc"

Content-Type: text/plain\\

Durch die erste Zeile wird dem Mailer mitgeteilt, daß hier Daten eingebunden werden sollen,die nicht in dieser Mail mitgesendet wurden. Die restlichen Parameter beschreiben, wie derMailer die externen Daten beschaffen soll. Hier soll also das File rfc1480.txt vom Serverds.internic.net per Anonymous-FTP aus dem Directory rfc heruntergeladen werden. EinMIME-fähiger Mailer wird den RFC 1480 beschaffen und im aktuellen Verzeichnisabspeichern. Ein Hacker könnte diesen Mechanismus z.B wie folgt mißbrauchen:

Content-Type: Message/External-body; name=".rhosts"; site="ftp.visigoth.org"; access-type="anon-ftp"; directory="."

Content-Type: text/plain

Hier würde ein MIME-fähiger Mailer eine .rhosts-Datei, die von einem Angreifer erstelltworden ist, herunterladen und im aktuellen Verzeichnis abspeichern. Hat der Hacker Glück unddas aktuelle Directory ist das Homeverzeichnis des Empfängers, so kann er mit Hilfe des,,rlogin``-Befehls sich auf der Maschine des Empfängers einloggen.

●

Ausführbarer Code●

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521


Eine weitere Gefahr durch MIME ist die Möglichkeit, ausführbaren Code, Postscript-Dateienoder andere Dateien (jpg,gif,Tex-Files) zu versenden. Solche Dateien könnten Viren enthaltenoder sonstige gefährliche Aktivitäten durchführen. Siehe dazu auch Abschnitt 2.3 undAbschnitt 2.7.3.

Nächste Seite: POP - Postoffice Protokoll Aufwärts: EMail Vorherige Seite: SMTP-Protokoll -Simple Mail Inhalt Index Klaus Bauer 1999-10-20

MIME-Extensions - Multipurpose Internet Mail Extensions RFC 1521


Nächste Seite: Telnet RFC 854 Aufwärts: EMail Vorherige Seite: MIME-Extensions -Multipurpose Internet Inhalt Index

POP - Postoffice Protokoll RFC 1725

POP (TCP-Port 109 meist 110) wurde entwickelt, um EMail von einem Mailserver abzuholen. Dabeiwerden dem User die Funktionen ,,Mail abholen`` und ,,Mail abholen und dann auf dem Serverlöschen`` zur Verfügung gestellt.POP stellt, genau wie SMTP, keine ernste Bedrohung für die Sicherheit eines Systems dar. Da POPalle Daten im Klartext überträt besteht die Gefahr, daß ein Angreifer diese mitliest.

Zusammenfassend kann man sagen, daß bei EMail wohl die größten Gefahren von Softwarefehlern inden Mailserverprogrammen und im Inhalt von MIME-kodierten EMails liegen.


POP - Postoffice Protokoll RFC 1725


Nächste Seite: MIME-Extensions - Multipurpose Internet Aufwärts: EMail Vorherige Seite: EMail Inhalt Index

SMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821

SMTP (TCP-Port 25) hat die Aufgabe, Mail zuverlässig und effizient vom Absender zum Empfängerzu transportieren. Vom Sicherheitsstandpunkt aus betrachtet ist das SMTP-Protokoll harmlos.Ein kleiner Schwachpunkt ist, daß man die Echtheit einer Absenderadresse nicht zuverlässigüberprüfen kann. Mittlerweile gibt es aber Verfahren, die das ermöglichen (PGP), aber leider ist dieZahl der Anwender, die solche Verfahren einsetzen, noch nicht besonders groß. SMTP kann fürDenial-of-Service-Attacken mißbraucht werden. Auf einigen Mailservern ist es erlaubt, dieSMTP-Befehle VRFY und EXPN auszuführen. Mit VRFY ist es möglich, Mailaliase aufzulösen. EinAngreifer könnte z.B. versuchen mit VRFY root herauszufinden, welche User Mail bekommen, diefür den Superuser root bestimmt ist. Diese Accounts sind dann potentielle Angriffsziele. Mit EXPNkann man die Teilnehmer von Maillinglisten erhalten und damit auch wieder Informationen darüber,welche Accounts es gibt.EMail wird gerne für ,,Social Engineering``-Angriffe eingesetzt, siehe dazu Abschnitt 2.6.Die schwerwiegenderen Sicherheitsprobleme sind in den Programmen, die SMTP implementierthaben, zu finden. Allen voran ist das in der UNIX-Welt weitverbreitete Mailprogramm sendmail zunennen. Durch gezieltes Ausnutzen von Fehlern in diesem Programm konnten Hacker Root-Rechteerlangen und damit die Kontrolle über das angegriffene System.

Nächste Seite: MIME-Extensions - Multipurpose Internet Aufwärts: EMail Vorherige Seite: EMail Inhalt Index Klaus Bauer 1999-10-20

SMTP-Protokoll - Simple Mail Transfer Protokoll RFC 821


Nächste Seite: MIME-Extensions Aufwärts: EMail Vorherige Seite: EMail Inhalt Index

SMTP-Protokoll

EMail nutzt SMTP als Protokoll, das wiederum über TCP läuft. SMTP-Empfänger nutzen den TCP-Port 25 undSMTP-Sender einen zufälligen Port 1023. Tabelle 3.3 gibt Filterregeln für das SMTP-Protokoll an, wobei davon

ausgegangen wird, daß alles, was nicht explizit erlaubt ist, verboten ist.

Tabelle 3.3: SMTP-Filterregeln, Quelle: [BIF-96] S. 215

Die Filterregeln sind so lesen:Die ersten beiden Regeln sind zum Empfang von Mail notwendig die letzten beiden zum Versenden von Mail.

RegelZulassen von TCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) von externen Maschinen an den Port 25 (SMTP)des internen Servers.

1.

RegelAntwortpakete des internen Servers an den externen Server zulassen.

2.

RegelTCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) des internen Mailservers an externe Mailserver zulassen.

3.

RegelAntwortpakete des externen Mailservers an den internen Mailserver zulassen.

4.

Alles was nicht durch diese Regeln explizit erlaubt ist, ist verboten. Weitere Filterregeln in dieser Arbeit sind analog zuinterpretieren.

Da SMTP ein ,,store-and-forward`` Protokoll ist, ist es bestens geeignet um über einen Proxy-Server bereitgestellt zuwerden. Mailserver können glücklicherweise selber als Proxy konfiguriert werden, so daß es nicht notwendig ist eineneigenen Mail-Proxy aufzusetzen. In einer Firewallumgebung sollte der gesamte Mailverkehr über den Bastion Hostverschickt werden. Um dies zu erreichen muß das Mailsystem entsprechend konfiguriert werden:

Setzen von DNS Mail Exchange (MX) Einträgen auf den Bastion HostDurch entsprechende Nameservereinträge wird erreicht, daß Mail nur von bestimmten Rechnern angenommen wird.

1.

Konfiguration des Mailers auf dem Bastion HostDer Mailer auf dem Bastion Host ist so zu konfigurieren, daß er die Zieladresse, an die eine Mail gesendet werdensoll, überprüft: wenn es eine externe Adresse ist, dann soll die Mail ganz normal ausgeliefert werden, ist es eineinterne Adresse, dann soll die Mail an einen internen Mailserver weitergeleitet werden. Dadurch erreicht man, daß aufdem Bastion Host keine internen Mailkonfigurations-Files (z.B. internes Alias-File) vorhanden sind. Ein weitererVorteil ergibt sich dadurch, daß SMPT-Verbindungen vom Bastion Host nach innen nur zu dem internen Mailserverzugelassen werden müssen. Damit sind die restlichen internen Maschinen nicht durch SMTP angreifbar, wenn einAngreifer auf den Bastion Host vorgedrungen ist.

2.

Konfiguration des internen MailersDer interne Mailer ist so zu konfigurieren, daß jede ausgehende Mail an den Bastion Host gesendet wird.

3.

Das Mailsystem sollte ausgehende Mails mit einer zentralen Mailadresse versenden und nicht mit der Adresse einesbestimmten internen Hosts. Eine ausgehende Mailadresse könnte so aussehen:

SMTP-Protokoll


[email protected]@littlehost.bigcompany.com.Dadurch wird garantiert, daß Mails durch den Bastion Host auch dann korrekt behandelt werden, wenn es Probleme mit denMX-Records einzelner Maschinen gibt und der Empfänger der Mail erhält konsistente Informationen. [BIF-96]

Nächste Seite: MIME-Extensions Aufwärts: EMail Vorherige Seite: EMail Inhalt Index Klaus Bauer 1999-10-20

SMTP-Protokoll


Nächste Seite: POP-Protokoll Aufwärts: EMail Vorherige Seite: SMTP-Protokoll Inhalt Index

MIME-Extensions

MIME Unterstützung ist Sache der Mail-Clienten. Aus Sicht des Mailservers und desTransportsystems ist eine EMail im MIME-Format eine Mail wie jede andere auch. Da inMIME-codierten Mails ausführbarer Code oder Dokumente, wie z.B. Postscriptdateien oderMS-Worddokumente enthalten sein können, sollten die Mail-Client-Programme so konfiguriertwerden, daß sie nicht einfach den Code ausführen oder die zugehörige Anwendung starten. EMailssollten auf den Client-Maschinen beim Abholen durch ein Virenprogramm überprüft werden.Moderne Firewall-systeme bieten diese Möglichkeit schon beim Eintreffen der Mail auf demMailserver an, also noch bevor der User die Mail abholen kann.


MIME-Extensions


Nächste Seite: TELNET Aufwärts: EMail Vorherige Seite: MIME-Extensions Inhalt Index

POP-Protokoll

POP ist ein Client-Server Protokoll zum Zugriff auf EMailboxen, die auf einem Mailserver verwaltet werden. POP ist einTCP-basierter Dienst. Aktuelle POP-Server (POP3-Server) nutzen den TCP-Port 110, ältere POP-Server (POP2, wird kaumnoch verwendet) nutzen Port 109. Die POP-Client-Programme benutzen TCP-Ports 1023.

Tabelle 3.4 zeigt, durch welche Filterregeln das POP-Protokoll mit einem Paketfilter kontrolliert werden kann.

Tabelle 3.4: POP-Filterregeln, Quelle: [BIF-96] S. 219

Das POP-Protokoll kann auch durch einen ,,generic-TCP-Proxy-Server`` abgesichert werden. Dies ist allerdings nur dannohne großen Aufwand möglich, wenn alle POP-Clients denselben POP-Server benutzen.

Die große Schwäche des POP-Protokolls ist, daß alle Daten im Klartext übertragen werden. Wenn man POP über dasInternet nutzen möchte, muß deshalb dafür gesorgt werden, daß die Daten verschlüsselt übertragen werden. Ist dies nichtmöglich, sollte man diesen Dienst nicht außerhalb des internen LAN anbieten. [BIF-96]


POP-Protokoll


Nächste Seite: Konfiguration des Webserver Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des DNS-Systems Inhalt Index


Als Mailsystem wurde qmail 4.5 gewählt und nicht das standard Unixmailsystem sendmail. Qmail istwesentlich einfacher zu konfigurieren als sendmail und es ist sicher: die Entwickler von qmail habeneinen Preis von 1000 US$ ausgesetzt für denjenigen, der ein Sicherheitsloch in den Qmailprogrammenfindet.Das Qmailsystem wurde so konfiguriert, daß keine Systemaccounts angelegt werden müssen. Damit istdie Forderung, daß auf einem Bastion keine Useraccounts vorhanden sein sollen (siehe 3.2.4.5) erfüllt.Um diese Konfiguration zu realisieren, sind folgende Schritte notwendig:

Mailaccount anlegenZur Bestimmung des Empfängers bzw. des Mail-Verzeichnises durchsucht qmail zuerst/etc/passwd. Wird qmail dort nicht fündig, schaut es in ./users/assign nach. Das./users/assign-File ist im Installationsverzeichnis von qmail zu finden, unter FreeBSD:/var/qmail.Das assign-File hat folgendes Format:

=local:user:uid:gid:homedir:dash:ext:

Die einzelnen Felder haben folgende Bedeutungen:

=localDurch das ,,=``-Zeichen wird qmail angewiesen, bei der Überprüfung des Empfängers nurexakte Übereinstimmungen mit dem String, der nach dem ,,=``-Zeichen steht, als gültig zuakzeptieren. Qmail läßt statt des ,,=``-Zeichens auch ein ,,+`` zu. Das hat dann zur Folge,daß alle Mails, die als Empfänger den String hinter dem ,,+``-Zeichen enthalten, akzeptiertwerden.

❍

userUser muß in /etc/passwd eingetragen sein. Mit diesem account kann man sich aber nichteinloggen.

❍

uidDie Userid des Users ,,user``.

❍

gidDie Gruppennummer des Users ,,user``.

❍

homedirIn dieses Verzeichnis werden die Mails ausgeliefert. Dieses Directory wird mit denRechten 0700 und uid und gid des Users ,,user`` angelegt.

❍

dash,extMail an ,,local`` werden durch das File homedir/.qmaildashext kontrolliert und z.B. aneine andere Adresse weitergeleitet.

❍

Ein konkreter Eintrag im assign-File sieht z.B wie folgt aus:

●



=test:popuser:76:72:/var/qmail/popboxes/camelot-intern.de/test:::

Das bedeutet: Qmail akzeptiert Mails an den User test und liefert diese in das Verzeichnis/var/qmail/popboxes/camelot-intern.de/test aus.

POP3-Account anlegenDamit der User test seine Mails per POP auch abholen kann, muß er einen POP3-Zugang haben.Normalerweise wird dazu ein Useraccount in /etc/passwd angelegt und ein POP-Serververwendet, der die Benutzer mit Hilfe des passwd-Eintrages authentifiziert.Das qmail-POP-System ist dreistufig aufgebaut:

qmail-popupNimmt Username und Paßwort entgegen.

1.

checkpasswdÜberprüft Username und Paßwort. Bei erfolgreicher Authentifizierung werden dieEnvironmentvariablen USER, SHELL und HOME gesetzt.

2.

qmail-pop3dQmail POP-Server.

3.

Durch diesen Aufbau kann man jede beliebige Authentifizierungsmethode (Einmalpaßworte,MD5-Paßworte) verwenden, da man das Programm checkpasswd durch jedes beliebige Programersetzen kann.Ich habe ein checkpasswd-Programm ausgewählt, das in einem eigenen File (poppasswd) dieBenutzerdaten überprüft. Das File hat folgendes Format:

pop3login:verschlüsseltes Passwort:popuser:home

Alle POP3-Accounts werden in dieses File eingetragen. Wichtig dabei ist, daß home desPOP-Accounts dasselbe Verzeichnis ist, wie das im users/assign-File für die zugehörigeEMailadresse angegebene.

●

Um das Anlegen von EMail-Accounts mit zugehörigen POP3-Accounts zu vereinfachen, habe ich einPerl-Programm entwickelt. Das Programm frägt nach den Benutzerdaten (Vorname, Nachname,Mailadresse usw.) und macht dann automatisch alle notwendigen Eintragungen. Zum Starten derServerprozesse wird nicht inetd verwendet, sondern tcpserver. Tcpserver ist Bestandteil desucspi-tcp-Softwarepacketes und im Internet unterftp://koobera.math.uic.edu/www/ucspi-tcp.html zu finden.Tcpserver beinhaltet ein Zugangskontrollsystem, ähnlich wie das tcp-wrapper/tcpd-hosts.allow-File,durch das man Verbindungen an Hand von IP-Adressen zulassen oder abweisen kann. Zusätzlichprotokolliert tcpserver jede Verbindung.Zum automatischen Start des Mailsystems beim Systemstart habe ich ein Shellskript geschrieben, dasdiese Aufgabe übernimmt. Das Skript startet das QMail-System unter ,,Aufsicht`` eines,,supervise``-Programms 4.6. Dadurch wird die Administration deutlich vereinfacht. Um sich vor denialof service Angriffen auf den SMTP-Server zu schützen, wird in dem Skript die Größe des virtuellenSpeichers, den Qmail nutzen darf, beschränkt.Auch für das Starten des qmail-POP3-Servers habe ich ein Shell-Skript geschrieben, das beimSystemstart den POP3-Server automatisch hochfährt.

Nächste Seite: Konfiguration des Webserver Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des DNS-Systems Inhalt Index Klaus Bauer 1999-10-20



ftp://koobera.math.uic.edu/www/ucspi-tcp.html

Nächste Seite: Aufbau eines Bastion Host Aufwärts: Firewall-Architekturen Vorherige Seite:Screened Subnet Architektur Inhalt Index

Mischformen

Chapman und Zwicky geben in [BIF-96] folgende Empfehlungen zu Variationen vonFirewallarchitekturen:

Mehrere Bastion HostsDie Verwendung mehrerer Bastion Hosts kann aus verschiedenen Gründen sinnvoll sein:

PerformanceBestimmte Dienste, z.B. News, sind sehr große ,,Resourcen-Fresser``, so daß es besserist, diese auf einem eigenen Rechner anzubieten.

❍

RedundanzDurch die Verwendung mehrerer Bastion Hosts kann man einige Dienste (z.B. DNS,SMTP) redundant konfigurieren, so daß sie bei Ausfall einer Maschine einfach von eineranderen weiter angeboten werden.

❍

Daten trennenDurch die Aufteilung von Diensten auf mehrere Rechner wird ebenfalls die Performanceerhöht und zusätzlich die Sicherheit der Daten. Man könnte z.B. einen Webserver für dieeigenen Kunden und einen für den ,,Rest`` der Welt anbieten.

❍

●

Exterior und Interior Router in einem GerätWenn ein Router auf jedem Netzwerkinterface Filter für eingehenden und abgehendenDatenverkehr verwalten kann, benötigt man keine zwei Router um eine Screened HostArchitektur aufzubauen.

●

Zusammenlegen von Exterior Router und Bastion HostDadurch kann man dieselbe Funktionalität wie bei der Screened Subnet Architektur mit dreiGeräten (Interior, Exterior Router und Bastion Host) erreichen. Allerdings wird durch dasZusammenlegen der Bastion Host leichter angreifbar.

●

Die nachfolgenden Konfigurationen sollten vermieden werden:

Zusammenlegen von Bastion Host und Interior RouterDadurch erhält man eine Screened Host Architektur. Wird dann der Bastion Host erfolgreichangegriffen, so gibt es keinen weiteren Schutz mehr. Der Angreifer kann den Traffic iminternen LAN mitlesen.

●

Verwenden mehrerer Interior RouterDer Hauptgrund der gegen eine derartige Konfiguration spricht ist, daß die Konfigurationmehrerer Interior Router sehr schwierig und fehleranfällig ist. Im Falle einesKonfigurationsfehlers, kann ein fehlerhaft konfigurierter Router Datenpakete zwischen internenHosts über das Perimeter Netzwerk senden. Interner LAN-Traffic soll jedoch nie in dasGrenznetz gelangen.

●

Mischformen


Nächste Seite: Aufbau eines Bastion Host Aufwärts: Firewall-Architekturen Vorherige Seite:Screened Subnet Architektur Inhalt Index Klaus Bauer 1999-10-20

Mischformen


Nächste Seite: RPC-Dienste - Remote Procedure Aufwärts: Exterior Routing Protokolle VorherigeSeite: EGP - Exterior Gateway Inhalt Index

BGP Border-Gateway-Protokoll RFC 1771

BGP ist das führende exterior-Gateway-Protokoll im Internet. BGP setzt auf TCP/IP auf und nutztTCP-Port 179. Aktuell ist derzeit Version 4.Die Hautaufgabe von BGP ist, wie auch bei EGP, der Austausch von Erreichbarkeitsinformationen.BGP verwendet dazu sogenannte Pfadverktoren. Diese enthalten alle autonomen Systeme, diezwischen Quelle und Ziel liegen, also eine genaue Beschreibung der Wege, welche die Dateneinschlagen müssen, um bestimmte Netze zu erreichen.

BGP hat folgende Sicherheitsrisiken:

BGP stellt zwar Meachanismen zur Authentisierung bereit, diese sind aber zu schwach. Ein Angreiferkann sich als ein bestimmtes AS ausgeben und dadurch Routinginformationen für seine Zweckemanipulieren. Auch ein Denial-of-Service-Angriff ist mittels BGP möglich. JederAuthentisierungsfehler erzeugt eine NOTIFICATION-Nachricht und führt zum Abbruch derBGP-Verbindung. Wenn ein Angreifer künstlich viele Authentisierungsfehler erzeugt, kann es zurSystemüberlastung kommen. Da BGP über TCP/IP läuft, ist es natürlich verwundbar durch Angriffeauf TCP und IP.


BGP Border-Gateway-Protokoll RFC 1771


Nächste Seite: RPC-Dienste Aufwärts: Routing Protokolle Vorherige Seite: OSFP-Protokoll Inhalt Index

BGP-Protokoll

,,Da BGP über TCP und IP läuft, ist BGP verwundbar bezüglich der Angriffe auf TCP und IP. JüngsteEntwicklungen haben algorithmenunabhängige kryptographische Authentisierung für RIP und OSFPNachrichten entwickelt [Atkinson 97]. Diese verwenden den Keyed MD5 Algorithmus, um denKnoten zu authentifizieren, der das Routingpaket sendet. Hierdurch werden alle Angriffe aufRoutingprotokolle abgewehrt mit Ausnahme der Replay-Attacke. Das Inter-Domain RoutingProtokoll wird BGP in Zukunft ersetzen. Es übernimmt jedoch die Authentisierungsmöglichkeitenvon BGP.`` [fwstud]

Zum Schutz vor Denial-of-Service-Angriffe durch Notification-Nachrichten kann man einenPaketfilter einsetzten.


BGP-Protokoll


Nächste Seite: BGP Border-Gateway-Protokoll RFC 1771 Aufwärts: Exterior Routing ProtokolleVorherige Seite: Exterior Routing Protokolle Inhalt Index

EGP - Exterior Gateway Protokoll

EGP dient dazu, Erreichbarkeitsinformationen zwischen ,,Autonomen Systemen`` auszutauschen, d.h.Informationen darüber, welche Netze erreichbar sind. Diese Daten setzen dann die Router derautonomen Systeme in interne Routing-Informationen für OSPF oder RIP um.

EGP hat im Grunde 3 wesentliche Funktionen:

Nachbarn festlegenZwei Router aus zwei verschiedenen AS verständigen sich miteinander, ob sie EGP-Partnerwerden wollen.

1.

Erreichbarkeit der NachbarnInnerhalb bestimmter Zeitintervalle wird überprüft, ob die EGP-Partner noch erreichbar sind.

2.

Erreichbarkeit von NetzwerkenDas ist die Hauptaufgabe von EGP. EGP-Partner erhalten auf Anfrage eine Liste vonerreichbaren Netzwerken in den autonomen Systemen der Nachbarn.

3.

EGP hat einige Nachteile, die auch Auswirkungen auf die Sicherheit eines Systems haben können,z.B. ist es möglich, durch Manipulation der Routing-Informationen von den AS den Datenverkehrüber ein anderes AS umzuleiten. Da EGP aber kaum noch eingesetzt wird, ist eine detailiertereBehandlung unnötig. Weiterführende Informationen finden sich bei [Huit].

Nächste Seite: BGP Border-Gateway-Protokoll RFC 1771 Aufwärts: Exterior Routing ProtokolleVorherige Seite: Exterior Routing Protokolle Inhalt Index Klaus Bauer 1999-10-20

EGP - Exterior Gateway Protokoll


Nächste Seite: BGP-Protokoll Aufwärts: Routing Protokolle Vorherige Seite: RIP-Protokoll Inhalt Index

OSFP-Protokoll

Hier gilt genau wie bei RIP, daß Router oder Bastion Hosts OSFP-Pakete von außen ignorierensollten.Zusätzlichen Schutz bieten starke Authentisierungsmechanismen, siehe Abschnitt 3.3.


OSFP-Protokoll


Nächste Seite: Exterior Routing Protokolle Aufwärts: Interior Routing Protokolle Vorherige Seite:RIP Version 2 Routing-Information-Protokoll Inhalt Index

OSPF Open Shortest Path First RFC 2178

OSPF ist ein weiteres interior Routing-Protokoll. OSPF ist leistungsfähiger, aber auch komplexer alsRIP.

In Bezug auf die Sicherheitsrisiken gilt für OSBF nahezu das gleiche wie für RIP:

Passwort ausspähenOSPF besitzt im Gegensatz zu RIP ein explizites Feld zur Authentisierung. Da zurÜberprüfung, ob jemand berechtigt ist, Routinginformationen zu schicken oder nicht, nurPassworte verwendet werden, stellt dies keinen großen Sicherheitsgewinn dar. Jeder, der in derLage ist, Routing-Protokolle zutäuschen, dürfte wohl kaum Schwierigkeiten haben, diesePassworte mitzulesen.

●

Versenden falscher Routing-InformationenGenau wie bei RIP könnte ein Angreifer versuchen, durch Einbringen falscherRouting-Informationen den Datenverkehr umzulenken.

●


OSPF Open Shortest Path First RFC 2178


Nächste Seite: OSPF Open Shortest Path Aufwärts: Interior Routing Protokolle Vorherige Seite:Interior Routing Protokolle Inhalt Index

RIP Version 2 Routing-Information-Protokoll RFC 1723

RIP ist das am weitetsten verbreitete Routing-Protokoll in der TCP/IP- und UNIX-Welt. DasUnix-Programm routed ist eine Implementierung des Routing-Information-Protokoll.

RIP hat folgende Sicherheitsrisiken:

Erzeugung falscher RIP-NachrichtenDa RIP auf UDP aufsetzt, ist es für einen Angreifer leicht, falsche RIP-Nachrichten zuversenden. Durch geschicktes Fälschen von Routinginformationen kann ein Hacker denDatenverkehr auf seinen Rechner umlenken und damit in den Besitz von Passwörtern kommen.Diese Methode wird auch als man in the middle attack bezeichnet.

●

Umgehen der RoutingmechanismenDurch die IP-Option lose source route kann RIP umgangen werden. Ein Angreifer kanndadurch explizit die Route zum Ziel angeben. Hacker können auf diese Weise ihren Rechnergegenüber dem angegriffenen System als vertrauenswürdig ausgeben. Damit stehen alleDienste zur Verfügung, die sich zur Authentisierung auf IP-Quelladressen verlassen.

●


RIP Version 2 Routing-Information-Protokoll RFC 1723


Nächste Seite: OSFP-Protokoll Aufwärts: Routing Protokolle Vorherige Seite: Routing Protokolle Inhalt Index

RIP-Protokoll

RIP ist ein UDP-basierter Dienst. RIP-Server nutzen Port 520 um eingehende RIP-Pakete zubeantworten. Ausgehende RIP-Pakete haben als Source-Port auch 520. Dadurch ist es möglichFilterregeln für RIP aufzustellen. Entsprechende Regeln sind in Tabelle 3.2 aufgeführt.

Tabelle 3.2: RIP-Filterregeln, Quelle: [BIF-96] S. 300

Richtung Quelladresse Zieladresse Protokoll Quellport Zielport Bedeutung

Ein Extern Intern UDP 1023 520Externe Anfrage an eineninternen Server

Aus Intern Extern UDP 520 1023Antwort von internem Serveran externen Client

Aus Intern Extern UDP 1023 520Anfrage von internem Client

Ein Intern Extern UDP 520 1023Antwort von externem Serverauf Anfrage von internemClient

Ein Extern Broadcast UDP 520 520 Externer Server sendetBroadcast

Aus Intern Broadcast UDP 520 520 Interner Server sendetBroadcast

Ein Router oder Bastion Host sollte RIP-Anfragen von außen ignorieren.

Nächste Seite: OSFP-Protokoll Aufwärts: Routing Protokolle Vorherige Seite: Routing Protokolle Inhalt Index Klaus Bauer 1999-10-20

RIP-Protokoll


Nächste Seite: NIS Aufwärts: RPC-Dienste Vorherige Seite: RPC-Dienste Inhalt Index

NFS

NFS wurde entwickelt um Maschinen über das LAN Zugriff auf Filesysteme anderer Maschinen zuermöglichen. NFS funktioniert zwar prinzipiell auch über langsamere WAN-Verbindungen, aberaufgrund der erheblichen Sicherheitsprobleme sollte NFS nicht über das Internet betrieben werden.Da NFS auf RCP aufsetzt, ist es mit Paketfiltern nur sehr schwer zu sichern. Zwar ist es denkbar NFSmit einem speziellen Proxy-Server entsprechend abzusichern, nur ist bis jetzt noch kein solcher Proxyentwickelt worden. Damit bleibt als Empfehlung nur, NFS nicht über eine Firewall anzubieten.[BIF-96]


NFS


Nächste Seite: EMail Aufwärts: RPC-Dienste Vorherige Seite: NFS Inhalt Index

NIS

NIS ist ein weiterer RPC-Dienst, deshalb gilt hier dieselbe Empfehlung wie oben für NFS: NIS solltenicht über eine Firewall angeboten werden.


NIS


Nächste Seite: Konfiguration von Tripwire Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des HTTP-Proxy Inhalt Index


,,Secure Shell`` ist ein Programm, mit dem man sich über ein Netzwerk auf anderen Computerneinloggen kann. SSH arbeitet mit starker Authentifizierung und Kryptographie. SSH schützt vorfolgenden Bedrohungen:

IP-Spoofing Angriff●

IP-Source-Routing Angriff●

DNS-Spoofing Angriff●

Mitlesen von Paßwörtern oder anderen Daten●

Manipulation der übertragenen Daten●

Da die gesamte Kommunikation automatisch verschlüsselt wird, werden keine Informationen imKlartext übertragen. SSH ist als sicherer Ersatz für die unsicheren ,,r``-Kommandos (sieheAbschnitt 2.18) gedacht.Bevor der sshd gestartet werden kann, muß das Konfigurationsfile /etc/sshd_config editiert werden:

PermitRootLogin auf ,,no`` setzten.Dadurch kann sich der Superuser root nicht per ssh einloggen. Root-Logins sind immerproblematisch, weil man z.B. nicht erkennen kann welcher User sich mit der root-Kennungangemeldet hat.

●

IgnoreRhosts auf ,,yes`` setzten.Damit wird die Hostauthentifizierung abgeschaltet.

●

PermitEmptyPasswords auf ,,no`` setzten.Wenn ein Account kein Paßwort hat, so kann dieser sich nicht per SSH einloggen. Accountsohne Paßwort sollte es ohnehin nicht geben.

●

Secure Shell unterstützt drei verschiedene Authentifizierungsmethoden:

Hostauthentifizierung

Von Maschinen, deren Hostname in den Files /etc/hosts.equiv oder /etc/shosts.equiv auf demZielrechner eingetragen ist, kann man sich per ssh einloggen. Besitzt der User auf demZielrechner ein Homedirectory, so wird auch in den Files .rhost und .shosts im Homedirectorydes Users nachgeschaut, ob der Hostname des Computers, von dem der Login ausgeht, dortenthalten ist.

1.

Kombination aus Hostauthentifizierung und RSA-Hostauthentifizierung

Hier wird zusätzlich zur Hostauthentifizierung in den Files .ssh/known_hosts imHomedirectory des Users (falls vorhanden) oder in /etc/ssh_known_hosts nach dem Hostkeydes Clients gesucht. Nur wenn dieser auf dem Rechner, auf dem man sich einloggen möchtevorhanden ist, wird ein Login gestatet.

2.

RSA-public-key Authentifizierung3.



Public-key Kryptographieverfahren verwenden verschiedene Schlüssel zur Ver- undEntschlüsselung. Die Idee dabei ist, daß sich der User einen privaten und einen öffentlichenSchlüssel auf der Maschine, auf der er sich später einloggen möchte, erzeugt. ImHomeverzeichnis auf dieser Maschine muß der Benutzer in .ssh/authorized_keys seinenöffentlichen Schlüssel abspeichern. Wenn sich der User danach einloggen möchte, teilt dasssh-Programm dem Server mit, welches Keypaar zur Authentifikation verwendet werden soll.Der Server prüft das Keypaar und schickt dem Client ein Challenge, eine mit dem öffentlichenSchlüssel verschlüsselte Zufallszahl, die nur mit dem zugehörigen privaten Schlüssel wiederentschlüsselt werden kann, zurück. Anschließend wird der Challenge auf Clientseiteentschlüsselt und danach mit dem privaten Schlüssel wieder verschlüsselt zurück an den Servergeschickt. Der Server entschlüsselt das Paket und vergleicht die Zahl mit der ursprünglichgesendeten. Stimmen beide überein, war die Authentifizierung erfolgreich.

Zusätzlich unterstützt ssh noch Authentifizierung durch den TIS-Authentication-Server aus demFirewalltoolkit der Firma Trustet Information Systems (siehe http://www.tis.com/fwtk/).Wir wählen die dritte Methode zur Fernwartung des Bastion Host. Zur Konfiguration derRSA-public-key Authentifizierung sind folgende Schritte notwendig:

Auf dem Bastion Host das Programm ssh-keygen starten.Dadurch wird im Homeverzeichnis des Users ein Unterverzeichnis .ssh angelegt. Anschließendwerden im Verzeichnis .ssh die Files identity und identity.pub erzeugt.

●

Umbenennen von identity.pub nach authorized_keys.●

Das File identity auf Diskette kopieren und auf dem Bastion Host löschen.●

Identity-File auf dem Rechner, von dem aus man sich auf den Bastion Host einloggen möchte,in das Homedirectory nach .ssh/identity kopieren.

●

Damit der ssh-Daemon beim Booten des Systems automatisch gestartet wird habe ich ein Shell-Skriptgeschrieben, das diese Aufgabe übernimmt.

Nächste Seite: Konfiguration von Tripwire Aufwärts: Konfiguration des Betriebsystems VorherigeSeite: Konfiguration des HTTP-Proxy Inhalt Index Klaus Bauer 1999-10-20



http://www.tis.com/fwtk/

Nächste Seite: Schluß Aufwärts: Konfiguration des Betriebsystems Vorherige Seite: Konfigurationvon SSH Inhalt Index


Durch das Programm tripwire können ungewollte Änderungen am Dateisystem erkannt werden.Wichtige Systemdateien, wie z.B. die Paßwortdatei oder Konfigurationsdateien, die sichnormalerweise nicht mehr verändern, werden durch tripwire überwacht.

Um tripwire einsetzen zu können, muß es entsprechend konfiguriert werden:

Erstellen eines KonfigurationsfilesIn das Konfigurationsfile werden alle Directories bzw. Files, die man überwachen möchte,eingetragen. Man kann dabei verschiedene Kriterien für jedes Directory und jede Dateiangeben, z.B. kann man überprüfen, ob sich die Zugriffrechte geändert haben oder die UIDusw.

●

Erzeugen der ReferenzdatenbankBevor man mit tripwire die entsprechenden Files und Verzeichnisse überwachen kann, mußman einmalig mit dem Befehl tripwire -initialize eine Referenzdatenbank erzeugen.Anschließend kann tripwire Änderungen durch den Vergleich mit der Referenzdatenbankerkennen und protokollieren.

●

Damit tripwire automatisch alle im Konfigurationsfile eingetragenen Files automatisch überprüft,habe ich ein Shell-Skript geschrieben, das tripwire startet und den Output an den Superuser per Mailzustellt. Das Shell-Skript wird durch den Cron-Mechanismus einmal pro Woche ausgeführt.

Nächste Seite: Schluß Aufwärts: Konfiguration des Betriebsystems Vorherige Seite: Konfigurationvon SSH Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Konfiguration des HTTP-Proxy Aufwärts: Konfiguration des BetriebsystemsVorherige Seite: Konfiguration des Mail-Systems Inhalt Index

Konfiguration des Webserver

Als Webserver kommt der im Internet weitverbreitete Apache in der Version 1.3.9 zum Einsatz. Beider Installation des Apache-Servers sind einige Punkte, die die Sicherheit des Bastion Host betreffen,zu beachten.Das Server-Root Verzeichnis (meist /usr/local/apache) darf nur für den Superuser Schreibrechtebesitzen. Die übergeordneten Verzeichnisse dürfen ebenfalls nur für den root-User Schreibrechtehaben. Die Directories bin, conf und logs unter /usr/local/apache müssen root gehören mit denRechten 755, d.h., nur der Superuser hat Schreibrechte.Desweiteren sind noch nachfolgende Punkte zu beachten:

Server startenDer Apache-Server wird derartig konfiguriert, daß er unter einer bestimmten UID und GIDläuft. Dazu müssen im Konfigurationsfile die Paramter User und Group entsprechend gesetztwerden. Ich verwende dazu einen extra für diesen Zweck angelegten Accout Namens www unddie Gruppe www.

●

Server Side IncludesDa Server-Side-Includes (SSI) derartig konfiguriert werden können, daß man dadurch beliebigeProgramme ausführen kann, wird diese Funktion abgeschaltet.

●

CGI-ProgrammeDer Server wird so konfiguriert, daß CGI-Programme nur in bestimmten Directories ausgeführtwerden können (Script Alias'ed CGI). Dadurch hat der Systemadministrator die alleinigeKontrolle darüber, welche CGI-Programme zur Ausführung bereitstehen und welche nicht.

●

Systemweite Einstellungen vor Überschreiben schützenDurch die Einstellung:

Directory /

AllowOverride NoneOrder Deny, AllowDeny from All

/Directory

wird sichergestellt, daß der Webserver zunächst ein mal keinen Zugriff auf Directories hat (aufgar keines!). Wenn der Apache-Server ein Dokument an einen Client ausliefert, z.B./home/Webprogrammierer/TolleSeite.html, dann sucht der Webserver in jedem Directory hieralso in /, /home und in /home/Webprogrammierer nach .htacces-Files (.htacces ist derDefault-Name). In diesen Files kann man systemweite Einstellungen überschreiben. DurchAllowOverride None wird dies verhindert.Durch weitere Directory Einträge kann man festlegen, auf welche Verzeichnisse der

●



Server zugreifen darf und welche Aktionen zuläßig sind und welche nicht. Für weitereInformationen zum Directory -Parameter siehe

http://www.apache.org/docs/mod/core.html#directory.

Einrichten weiterer WebserverZum Einrichten weiterer Webserver wird die VirtualHost-Directive verwendet. Durchnachfolgenden Eintrag im Konfigurationsfile wird ein zusätzlicher Webserver gestartet:

VirtualHost 10.0.0.1

ServerName www.toller-server.deServerAdmin [email protected] /www/toller-server

/VirtualHost

Beim Eintragen von VirtualHosts ist darauf zu achten, daß der Server eine IP-Adresse undeinen Hostnamen hat. Trägt man z.B. statt der IP-Adresse einen Hostnamen ein, könnte einAngreifer durch DNS-Manipulation sämtlichen Datenverkehr an den Server umlenken, in demer dem Servernamen eine andere IP-Adresse zuordnet.Auf der Apache-Webseite sind unterhttp://www.apache.org/docs/dns-caveats.html folgende Empfehlungen zurVermeidung von DNS-Angriffen zu finden:

Verwendung von IP-Adressen in VirtualHost -Directiven❍

Verwendung von IP-Adressen in Zusammenhang mit Listen❍

Sicherstellen, daß jeder VirtualHost einen expliziten ServerName-Eintrag hat.❍

Eintragen von VirtualHost _default_:*❍

Der VirtualHost _default_ Eintrag fängt alle IP-Adressen, die nicht explizit vorher in einemVirtualHost-Statement angegeben wurden ab. Fehlt dieser Eintrag, würde für einen virtuellenWebserver, der nicht mit einem VirtualHost-Eintrag konfiguriert wurde, das gleicheKonfigurationsfile verwendet werden, wie für den Hauptserver. Dies dürfte in den meistenFällen unerwünscht sein.

●

Damit die HTTP-Clients das Feature ,,automatische Proxykonfiguration`` (vgl. nächster Abschnitt)nutzen können, habe ich im ,,mime-type``-Konfigurationsfile den Type,,application/x-ns-proxy-autoconfig`` für Dateien mit der Endung .pac hinzugefügt. Dadurch ist esdem Webserver möglich, den richtigen MIME-Type für das Proxy-Konfigurationsskript an dieClients, zu übermitteln (vgl. Abschnitt 4.6.2.4). Um die Webserber beim Booten des Systemsautomatisch zu starten, habe ich ein entsprechendes Shell-Skript geschrieben.

Nächste Seite: Konfiguration des HTTP-Proxy Aufwärts: Konfiguration des BetriebsystemsVorherige Seite: Konfiguration des Mail-Systems Inhalt Index Klaus Bauer 1999-10-20



http://www.apache.org/docs/mod/core.html#directory

http://www.apache.org/docs/dns-caveats.html

Nächste Seite: Java Aufwärts: Archie Vorherige Seite: Cookies Inhalt Index

ActiveX

,,ActiveX stellt den Versuch von Microsoft dar, eine ähnliche Funktionalität wie die von Java fürMicrosoft-Windows-Plattformen zu implementieren. Das Hauptproblem stellt dabei eineActiveX-Eigenschaft dar, die die Benutzerrechte des eingeloggten Nutzers auf das System, auf demdie AcitveX-Controls ablaufen, vererbt. Wenn also z.B. der Benutzer eines Web-Browsers mitaktivierter ActiveX-Funktion Administratorrechte besitzt, so gilt dies auch für die ActiveX-Controls`[SiI]ActiveX sollte grundsätzlich auf den Webbrowsern deaktiviert werden.


ActiveX


Nächste Seite: S-HTTP - Secure Hyper Aufwärts: WWW - World Wide Vorherige Seite: Archie Inhalt Index

HTTP - Hyper Text Transfer Protokoll RFC 2616

Das Hyper Text Transfer Protokoll ist ein Protokoll der Anwendungsschicht (vgl. Abbildung 2.2)und wurde für verteilte Hypermedia-Informationssysteme entwickelt. HTTP wird imWorld-Wide-Web seit 1990 eingesetzt.

HTTP ist für den Datentransport zwischen Webserver und Client verantwortlich. Wie bei SMTP(Abschnitt 2.15.1.1) gilt auch hier, daß das HTTP-Protokoll selbst keine Bedrohung darstellt. Eineoffensichtliche Schwachstelle besitzt das Protokoll jedoch: alle Daten werden unverschlüsseltübertragen. Dadurch kann ein Angreifer durch Mitlesen der Kommunikation zwischen Webserver undClient in den Besitz vertraulicher Informationen kommen. Die Daten, die über HTTP gesendet werdenund die zugehörigen Programme (Server und Client) stellen die eigentlichen Gefahren dar.

Java, ActiveX und MIMEIn Webseiten finden sich häufig Java-Applets oder ActiveX-Controls. ActiveX-Controlsfunktionieren nur unter Windows. Sie sind sehr gefährlich, da man mit ActiveX auf alleBetriebssystemfunktionen uneingeschränkt zugreifen kann. In Abschnitt 2.15.5.7 wird ActiveXgenauer besprochen. Durch sogenannte Plug-Ins wird der Funktionsumfang einesWeb-Browsers (z.B. Netscape) erweitert. Diese Plug-Ins sind oft in Java geschrieben. Mankann sich jedoch nie sicher sein, ob diese Plug-Ins nicht einen Trojaner enthalten (sieheAbschnitt 2.3) oder andere bösartige Funktionen ausführen. Alle modernen Webbrowser habenin einem bestimmten Umfang Java eingebaut, so daß man Java-Code direkt in HTML-Seitenintegrieren kann. In den jeweiligen Java-Implementierungen wurden immer wieder Fehlergefunden, welche die Sicherheit eines Systems gefährden.Auch MIME-kodierte Dateien können per HTTP übertragen werden. Die dadurch entstehendenRisiken wurden bereits in Abschnitt 2.15.1.2 besprochen.

●

Download von Files

Durch einen einfachen Klick auf einen entsprechenden Link auf einer Webseite kann derBrowser dazu veranlaßt werden, einen Download zu starten. Hier gelten die gleichenSicherheitsrisiken wie in Abschnitt 2.15.3.2 Softwaredownload.

●

CGI-Programme

CGI - Common-Gateway-Interface - ermöglicht es Webservern, Daten an andere Programmeweiterzugeben. CGI-Programme werden z.B. für Suchmaschinen verwendet: die eingegebenenSuchbegriffe werden an ein CGI-Programm übergeben, das dann mit einer Datenbankkommuniziert und das Suchergebniss in Form einer HTML-Seite an den Webserverzurückliefert. Diese CGI-Programme können Fehler enthalten, die sich ein Angreifer zu nutzemachen kann.

●

Implementierungsfehler

Auch hier stellen die Programme (Server und Clienten) selbst ein Sicherheitsrisiko dar, weil sie

●



nicht fehlerfrei sind. Als aktuelles Beispiel sei hier ein Fehler im Internet-Information Serverder Firma Microsoft genannt: durch einen Buffer-Overflow können Angreifer eigenen Codeausführen lassen [CT-14/99] und [CA-99.07].

Nächste Seite: S-HTTP - Secure Hyper Aufwärts: WWW - World Wide Vorherige Seite: Archie Inhalt Index Klaus Bauer 1999-10-20



Nächste Seite: Java Aufwärts: WWW - World Wide Vorherige Seite: Cookies Inhalt Index

ActiveX

ActiveX wurde von Microsoft entwickelt. ActiveX-Elemente sind Bestandteil des Betriebssystemsund deshalb sind diese nur auf Windows-Rechnern lauffähig.ActiveX-Komponenten werden durch den Browser aufgerufen und laufen dann als eigenständigeProgramme. ActiveX hat ein sehr großes Gefahrenpotential, da man damit alles tun kann, was manmit Windows-DLLs auch tun kann. Hierzu gehören insbesondere Zugriff auf den gesamtenArbeitsspeicher, auf alle Betriebssystemfunktionen, auf das File-System und Nutzung desNetzwerkanschlusses.


ActiveX


Nächste Seite: HTTP - Hyper Text Aufwärts: WWW - World Wide Vorherige Seite: WAIS - WideArea Inhalt Index

Archie

Archie ist ein weiterer Internetdienst zur Informationssuche. Archie durchsucht dieInhaltsverzeichnisse von anonymous-FTP-Servern. Ein Anwender erhält, nach Eingabe einerZeichenkette oder eines Filenamens, eine Liste von FTP-Servern, die das gesuchte File oder Files, aufwelche die Zeichenkette paßt, gespeicher haben. Archie basiert auf dem UDP-Protokoll.Archie-Server laufen auf dem UDP-Port 1525.

Das Betreiben eines Archie-Servers ist nur mit sehr großem Aufwand und Kosten möglich. Dies istauch der Grund warum es weltweit nur ca. 20 Archie-Server gibt. Ein weiterer Grund ist, das auchhier das WWW mit seinen leistungsstarken Suchmaschinen die Funktion von Archie-Servern zurVerfügung stellt.

Auf Grund der geringen Bedeutung dieses Dienstes und der oben genannten Gründe, wird hier nichtweiter auf den Archie-Service eingegangen.


Archie


Nächste Seite: ActiveX Aufwärts: Archie Vorherige Seite: S-HTTP Inhalt Index

Cookies

In Cookie-Dateien können Webserver bestimmte Informationen, z.B. Datum und Uhrzeit desSeitenaufrufs, auf dem Client hinterlegen.,,Da die Cookie-Datei per Definition von Web-Servern gelesen und beschrieben werden kann, ist auchein entsprechender Mißbrauch möglich, obwohl die dabei offengelegten Informationen selten wirklichbedrohlich sind. Jedenfalls besteht die Möglichkeit, mit Hilfe eines Java-Programmes und einerentsprechenden Webseite die Cookie-Dateien der Besucher an beliebige Orte zu versenden undabzuspeichern.`` [SiI]Um dies zu verhindern kann man in den Webbrowsern die Cookie-Funktion abschalten.


Cookies


Nächste Seite: ActiveX Aufwärts: WWW - World Wide Vorherige Seite: S-HTTP - Secure Hyper Inhalt Index

Cookies

,,Cookie`` ist Netscapes Bezeichnung für Daten, die von einem Webbrowser dauerhaft oder temporärgespeichert werden. Cookies werden von Webservern erzeugt und auf den Web-Clienten gespeichert.Cookies ermöglichen es dem Webserver, sich an einen Clienten ,,zuerinnern``, d.h., der Webserverkann durch Auslesen des Cookies von Clienten, frühere Einstellungen wieder vornehmen (z.B.Seitenlayout, Registrierungsdaten, etc.).Die Sicherheitsbedrohungen durch Cookies sind als gering anzusehen. Durch den Einsatz vonCookies, kann man aber Rückschlüsse über Vorlieben und Interessen des Anwenders ziehen, die fürMarketingzwecke nützlich sein können. Da der Einsatz von Cookies für den Anwender durchaus sehrpraktisch sein kann, muß hier jeder für sich die Vorteile gegen die Nachteile abwägen.


Cookies


Nächste Seite: WAIS Aufwärts: World Wide Web (WWW) Vorherige Seite: World Wide Web (WWW) Inhalt Index

Gopher

Gopher ist ein auf TCP basierender Dienst. Server verwenden meistens TCP-Prot 70. Clients benutzen Portnummern

1023. Tabelle 3.9 gibt die Regeln für einen Paketfilter an.

Tabelle 3.9: Gopher-Filterregeln, Quelle: [BIF-96] S. 261

Durch den Einsatz eines Proxy-Server kann der Gopher-Dienst ebenfalls abgesichert werden. Nutzt man den Gopher-Dienstmit modernen Webbrowsern (z.B. Netscape Navigator) hat man automatisch Proxy-support, da der Browser Proxy-Serverunterstützt.


Gopher


Nächste Seite: WAIS - Wide Area Aufwärts: WWW - World Wide Vorherige Seite: WWW -World Wide Inhalt Index

GOPHER RFC 1436

Gopher ist ein menuorientierter, textbasierter Dienst, der die Informationssuche im Internet erleichternsollte. Gopher wurde von der Universität Minnesota entwickelt und kann als Vorläufer des WWWbetrachtet werden.Die Informationen auf einem Gopher-Server sind in einer hierarchischen Menustruktur organisiert.Ein Benutzer kann aus den verschiedenen Menupunkten auswählen. Hinter jedem Menupunkt kannentweder ein File sein, ein Formular oder ein weiteres Menu.

Gopher Clients und Server benutzen ähliche Mechanismen und Funktionen, wie HTTP Clients undServer. Deshalb haben sie auch die gleichen Sicherheitsprobleme.

Zum Beispiel kann ein Angreifer einen Gopherserver dazu veranlassen, bestimmte Programmeauszuführen. Dadurch ist es z.B. möglich, den Gopher-Server eine FTP-Verbindung aufbauen zulassen, die vom Clienten des Hackers initiert wurde. Da aber der Server die FTP-Verbindung aufbaut,geschieht dies nicht mit der IP-Adresse des Hackers, sondern mit der des Servers.

Weitere Sicherheitsprobleme vgl. Abschnitt 2.15.5.4.Heute hat der Gopher-Dienst nahezu keine Bedeutung mehr. Seine Funktionalität wurde vom WordWide Web (WWW ) übernommen. Dennoch ist in den meisten Web-Browsern ein Gopher-Clientintegriert.

Nächste Seite: WAIS - Wide Area Aufwärts: WWW - World Wide Vorherige Seite: WWW -World Wide Inhalt Index Klaus Bauer 1999-10-20

GOPHER RFC 1436


Nächste Seite: S-HTTP Aufwärts: Archie Vorherige Seite: Archie Inhalt Index

HTTP

HTTP basiert auf TCP. Server laufen meistens auf TCP-Port 80. HTTP-Clients verwenden Portnummer 1023.

Tabelle 3.12 zeigt die sich daraus ergebenden Filterregeln.

Tabelle 3.12: Http-Filterregeln, Quelle: [BIF-96] S. 253

Alle aktuellen HTTP-Clienten (Netscape, MS-Internet-Explorer) unterstützen die Verwendung eines Proxy-Servers.


HTTP


Nächste Seite: SNMP Aufwärts: Archie Vorherige Seite: ActiveX Inhalt Index

Java

Wenn man Java-Applets zulassen möchte ist darauf zu achten, daß man stets eine aktuelle Version derJavaimplementierung verwendet. Dadurch läßt sich das Risiko, Opfer von Webseiten, die bösartigenJava-Code enthalten, reduzieren. Java sollte nur eingeschaltet sein, wenn man auf Webserver zugreift,denen man vertrauen kann. Ist jedoch durch das Sicherheitskonzept eine hohe Sicherheitsstufevorgegeben, wie es i.d.R. bei Banken oder Versicherungen der Fall ist, sollte man die Java-Funktionin den Webbrowsern abschalten. Die oben genannten Empfehlungen gelten für Java-Applets sowie fürJava-Skript.3.4


Java


Nächste Seite: SNMP-Protokoll - Simple Network Aufwärts: WWW - World Wide VorherigeSeite: ActiveX Inhalt Index

Java

Java ist eine Programmiersprache, die von SUN Microsystems entwickelt wurde. Java istplattformunabhängig, d.h., Javaprogramme können unter nahezu allen Betriebssystemen bzw.Hardwareplattforemen ausgeführt werden. Man unterscheidet zwischen Java-Programmen undJava-Applets. Java-Programme sind vollwertige Anwendungen (Programme) die auf jedem Rechnereingesetzt werden können. Ich werde hier nicht weiter auf sie eingehen, da eine Gefährdung einesSystems durch Java-Programme genauso groß oder klein ist, wie bei anderen Programmen auch (z.B.MS-Excel usw.) siehe Abschnitt 2.2 und Abschnitt 2.3.

Java-Applets hingegen bestehen aus Programmcode, der nur auf bzw. innerhalb eines Webbrowserslauffähig ist. Java-Applets werden im Browser in der sog. ,,Sandbox`` ausgeführt. Zusätzlich gibt esnoch Javascript, das ursprünglich von Netscape entwickelt wurde. Javascript läuft nur alsBrowsererweiterung.

Die Gefährdung durch Java-Applets ist als gering einzuschätzen, da Java über ein dreistufigesSicherheitskonzept verfügt. Dazu gehören der Byte-Code Verifier, der Class Loader und der JavaSecurity Manager. Der Byte-Code Verifier überprüft vor der Ausführung des Programmes, ob dieEinschränkungen der Java-Sprache eingehalten wurden. Der Class Loader beschränkt die Anzahl derAPIs für das jeweilige Applet. Ferner beschränkt der Class Loader das Hinzufügen oder Entfernenvon Klassen, so daß ein Applet die Javalaufzeitumgebung nicht verändern kann.

Der Java Security Manager erfüllt folgende Aufgaben:

Verhindert die Installation eines neuen Class Loaders●

Steuert die Ausführung von OS Programmen●

Steuert den Zugriff auf OS Prozesse●

Steuert Filesystem-Operationen●

Steuert Socket-Operationen●

Steuert den Zugriff auf Java-Pakete 2.11

[fwstud]

●

Die Gefahren, die von Java-Applets ausgehen, beruhen im wesentlichen darauf, daß man nicht sichersein kann, ob ein Applet nicht bösartigen Code enthält (Trojaner,Viren). Hinzu kommt, daß in denJava-Implementierungen der Browser immer wieder Sicherheitslücken zu finden waren, die einHacker ausnutzen konnte.

Nächste Seite: SNMP-Protokoll - Simple Network Aufwärts: WWW - World Wide VorherigeSeite: ActiveX Inhalt Index Klaus Bauer 1999-10-20

Java


Nächste Seite: Cookies Aufwärts: Archie Vorherige Seite: HTTP Inhalt Index

S-HTTP

,,S-HTTP dient zur Sicherung von Web-Anwendungen. Dennoch können bösartige Applets bzw.MIME-codierte ausführbare Programme trotz der Sicherung oder gerade deswegen auf interneSysteme gespielt werden. Aus diesem Grund sollten HTTP-Daten und S-HTTP-Daten über einenProxy oder eine isolierte Opfermaschine betrieben werden.`` [fwstud] Unter einer Opfermaschineversteht man einen Rechner, der in der DMZ aufgestellt wird, um einen Dienst anzubieten, der eine zugroße Bedrohung darstellt als daß man ihn auf einem internen Rechner oder dem Bastion Hostinstallieren kann. Dabei wird das Risiko in Kauf genommen, daß die Opfermaschine durch einenAngriff unter die Kontrolle eines Hackers gelangen kann. Durch die Konfiguration desFirewallsystems sollte der Hacker aber keinen weiteren Zugriff auf das interne LAN von derOpfermaschine aus erlangen können.


S-HTTP


Nächste Seite: Cookies Aufwärts: WWW - World Wide Vorherige Seite: HTTP - Hyper Text Inhalt Index

S-HTTP - Secure Hyper Text Transfer Protokoll

Secure-HTTP ist eine Erweiterung des HTTP-Protokolls. S-HTTP überträgt die Daten zwischenWebserver und Client verschlüsselt. Damit wird ein Schwachpunkt des HTTP-Protokolls behoben.S-HTTP hat eine weitere nützliche Funktion: der Webserver authentifiziert sich gegenüber dem Clientmit einem Zertifikat, so daß man relativ sicher sein kann, daß der Webserver auch derjenige ist, fürden er sich ausgibt.Ansonsten gelten die gleichen Sicherheitsrisiken wie bei HTTP. Secure-HTTP wurde auch nicht mitdem Ziel entwickelt, die Schwächen von HTTP zu eliminieren, sondern um die Informationen, die perHTTP übertragen werden, vor Dritten zu schützen.


S-HTTP - Secure Hyper Text Transfer Protokoll


Nächste Seite: Archie Aufwärts: World Wide Web (WWW) Vorherige Seite: Gopher Inhalt Index

WAIS

WAIS verwendet TCP als Transportprotokoll. Normalerweise laufen WAIS-Server auf Port 210 und Clients mitPortnummern 1023. Daraus ergibt sich die in Tabelle 3.10 dargestellte Menge an Filterregeln.

Tabelle 3.10: WAIS-Filterregeln, Quelle: [BIF-96] S. 261

Wie bei Gopher erhält man durch die Benutzung eines aktuellen Webbrowsers, um den WAIS-Dienst zu nutzen,automatisch Proxy-support.


WAIS


Nächste Seite: Archie Aufwärts: WWW - World Wide Vorherige Seite: GOPHER RFC 1436 Inhalt Index

WAIS - Wide Area Information Servers

WAIS wurde von einem Firmenkonsortium (Thinking Maschines, Apple, Dow Jones, KMPG PeatMarwick) entwickelt. WAIS stellt dem Anwender eine einheitliche Schittstelle für den Zugriff aufunterschiedliche Datenbanken zur Verfügung. Der User kann Anfragen an einen WAIS-Server sendenund erhält als Antwort eine Liste von Dokumenten, die zu dieser Anfrage relevante Informationenenthalten.

Die Sicherheitsbedrohungen von WAIS sind relativ gering, da WAIS-Server im Gegensatz zuGOPHER- oder HTTP-Server keine zusätzlichen Programme starten. Aber WAIS-Server-Programmekönnen, wie jedes andere Programm auch, Fehler enthalten, die eine Bedrohung für die Sicherheit desRechners darstellen, auf dem sie laufen.

Der WAIS-Service kann mit den meisten heutigen Web-Browsern genutzt werden. Doch genau wiebei Gopher, hat das Web mit seinen Search-engines die Funktion von WAIS übernommen, so daßdieser Dienst nur noch eine geringe Bedeutung im Internet hat.


WAIS - Wide Area Information Servers


... RFC2.1

RFC - Request for Comment, diese Dokumente definieren oder beschreiben fast alle Protokolle oder Dienste desInternets, RFC sind z.B unter http://www.rfc-editor.org/rfc.html zu finden.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... schleusen2.2

Eingehende TELNET-Verbindungen sind im Normalfall unerwünscht.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten

http://www.klaus.camelot.de/dip/footnode.html (1 of 13) [01.11.2000 17:21:44]

.

.

.

.

.

.

.

... Oktets2.3

Oktet=Byte

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... bezeichnet2.4

Die zur Zeit gebräuchliche Terminologie bezeichnet einen Rechner als Gateway, der Daten zwischen verschiedenenProtokollen umsetzt; ein Rechner wird als Router bezeichnet, wenn er Daten zwischen verschiedenen Netzwerkenüberträgt. Ein System, das Daten von einem TCP/IP- in ein OSI-Netzwerk transportiert, ist also ein Gateway, währendder traditionelle IP-Gateway als Router bezeichnet wird [Hunt-98]

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... soll2.5

genau genommen, trifft jeder Rechner, der an ein Netzwerk angeschlossen ist, Entscheidungen darüber welchen Wegein Paket nehmen muß und besitzt deshalb auch eine Routing-Tabelle; ein Rechner wird aber erst dann als Routerbezeichnet, wenn er an mehreren (mindestens zwei) physikalischen Netzwerken angeschlossen ist

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... erzeugt2.6

Linux stellt eine Ausnahme dar; der Linux ifconfig-Befehl erzeugt keine Einträge in der Routingtabelle.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... verwendet2.7

Längere Schlüssel dürfen aus rechtlichen Gründen nicht eingesetzt werden. Krypthographische Software fällt in denUSA unter das Waffengesetz

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... 1024!2.8

Fußnoten


Je nach Betriebssystem und RPC-Implementierung kann der Inhalt der Portmapper-Tabelle etwas anders aussehen

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... 2.9

Damit ist das Einhängen eines neuen Filesystems gemeint

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

... NIS2.10

Früher auch als YP, Yellow Pages bezeichnet, doch dieser Name war bereits urheberrichtlich geschützt, so daß Sunden Dienst umbennen mußte.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... Java-Pakete2.11

Java-Pakete sind Gruppen von Java-Klassen

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

.

.

.

.

.../etc/hosts.equiv 2.12

Der Name dieses Files und der Pfad hängen vom jeweiligen Unix-System ab.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... werden.3.1

siehe http://www.bsi.de/

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


http://www.bsi.de/

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... Risiko3.2

Die Zahlen in diesem Beispiel sind frei erfunden.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

...Socket3.3

Die Kombination von IP-Adresse und Portnummer wird als Socket bezeichnet.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... Java-Skript.3.4

Weiterführende Informationen zu Java sind unter http://www.javasoft.com/ zu finden. Zu Java-Skript sindunter http://developer.netscape.com/library/documentation/ viele Dokumente mit nützlichenInfromationen abgelegt. Die offizielle Java-Script-Bug-liste ist im WWW unterhttp://developer.netscape.com/library/javascript/faqs/buglist/js-known-bugs.htmlzu finden.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


http://www.javasoft.com/

http://developer.netscape.com/library/documentation/

http://developer.netscape.com/library/javascript/faqs/buglist/js-known-bugs.html

... UUCP-Server3.5

UUCP kann auch ohne TCP betrieben werden.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... werden.4.1

Die BinGO verfügt über einen eingebauten Webserver zur Konfiguration und Wartung des Routers. Der Zugriff wirddurch das HTTP Server Password geschützt.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

... Callback4.2

Callback bedeutet, daß der ISP den ISDN-Router des Kunden anruft, z.B. wenn neue EMail eingetroffen ist. DerISDN-Router des Kunden erkennt den eingehenden Ruf, nimmt ihn aber nicht an, sondern baut seinerseits eineVerbindung zum ISP auf, um z.B. die neuen EMails abzuholen.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... kann.4.3

Die BinGO legt bei allen Rules automatisch eine nächste Rule fest. Gibt es keine weitere Regel, wird standardmäßigdie Regel mit dem Index 0 eingetragen. Diese Default-Regel bedeutet: alle Pakete abweisen.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... advisories``4.4

http://www.cert.org/ und http://www.freebsd.de/security/

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... 4.5

siehe http://qmail.mirrors.Space.Net/top.html

.

.

.

.

.

.

.

.

Fußnoten


http://www.cert.org/

http://www.freebsd.de/security/

http://qmail.mirrors.space.net/top.html

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

... ,,supervise``-Programms4.6

supervise ist ein Programm, das einen Dienst startet und überwacht. Es ist Teil der daemontools sieheftp://koobera.math.uic.edu/www/daemontools.html.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Fußnoten


ftp://koobera.math.uic.edu/www/daemontools.html

Nächste Seite: Definitionen und Begriffe Aufwärts: Funktionsprinzip Vorherige Seite:Funktionsprinzip Inhalt Index

Leistungsgrenzen von Firewalls

Eine Firewall ist die effektivste Methode ein LAN mit dem Internet zu verbinden und es dabei vor denGefahren zu schützen. [BIF-96]Dennoch bieten Firewalls nur beschränkten Schutz. Sie stellen eine gute Verteidigung gegen Angriffeauf den unteren Protokollebenen (Internetschicht, Transportschicht siehe Abb 2.2) dar. GefälschteIP-Adressen oder Versuche verbotene Dienste zu nutzen werden zuverlässig erkannt. Wenn jedochder Angriff auf höherer Ebene ansetzt (Anwendungsschicht), muß die Firewall den Inhalt der Paketedurchleuchten. Datenpakete, die bösartige Befehle enthalten, könnten die entsprechende Anwendungzu gefährlichen Aktionen veranlassen.Viren oder Trojaner aber können durch eine Firewall nur schlecht oder gar nicht erkannt werden. VorAngriffen von innen, z.B. durch die eigenen Mitarbeiter, wird durch eine Firewall alleine keinausreichender Schutz geboten. Um diesen Bedrohungen entgegenzutreten sind andere Maßnahmen zutreffen, die in Abschnitt 3.7 und 3.8 besprochen werden. Eine Firewall bietet nur Schutz vorbekannten Angriffsmethoden, deshalb ist es wichtig die Konfiguration der Firewall regelmäßig zuüberprüfen (Sicherheitsprozeß, Abschnitt 3.1.6) und gegebenenfalls anzupassen.

Nächste Seite: Definitionen und Begriffe Aufwärts: Funktionsprinzip Vorherige Seite:Funktionsprinzip Inhalt Index Klaus Bauer 1999-10-20

Leistungsgrenzen von Firewalls


Nächste Seite: Konfiguration des Betriebsystems Aufwärts: Installation des BetriebssystemsVorherige Seite: Installation des Betriebssystems Inhalt Index

Installierte Komponenten

Der Bastion-Host wird unter FreeBSD 3.2 betrieben. Zur Erhöhung der Sicherheit des Bastion-Hostswerden nur die wirklich notwendigen Komponenten installiert:

bin - Binary base distribution (required)●

DES - DES encryption code●

doc - Miscellaneous FreeBSD online docs●

info - GNU info files●

man - System manual pages (recommended)●

XFree86 - Basic component menu

bin - Client applications and shared libs❍

lib - Data files needed at runtime❍

man - Manual pages❍

prog - Programmer's header and library files❍

●

Zusätzliche installierte Software:Bei der Auswahl der zusätzlichen Software wurde darauf geachtet, die aktuellste Version mit allen,,Bugfixes`` zu installieren. Insbesondere habe ich vorher nochmals die ,,Security advisories`` 4.4 nachneuen Sicherheitslücken durchgesehen.

Nameserver: bind-8.2.1FreeBSD wird zwar standardmäßig mit Bind ausgeliefert, aber nicht mit der neuesten Version.Bind hat in der aktuellen 8.2.1-Version einige Verbesserungen gegenüber der Version 8.1.2 vonBind, die bei FreeBSD 3.2 dabei ist.

●

Mailsoftware: qmail-1.03Qmail ist ein modernes Mailsystem und es ist sicher.

●

HTTP-Proxy: squid-2.2.STABLE4Squid ist ein sehr effektiver Proxy-Server mit guten Cachingeigenschaften, durch den dieNetzlast gesenkt und die Performance für alle Benutzer verbessert wird.

●

Webserver: apache-1.3.9Apache ist ein schneller und zuverlässiger Webserver.

●

Shell: tcsh-6.08.00Tcsh ist eine komfortable Unixshell.

●

Pager: less-337Less ist ein Pager der etwas funktioneller ist als der standard Pager more.

●

SSH: secure shell-1.2.27,,Secure Shell`` ist ein Programm, daß Terminalsitzungen durch starke Kryptographie schützt.SSH wird zur Remote-Administration verwendet.

●

daemontools-0.61●



Das ,,damontool``-Softwarepaket enthält eine Reihe nützlicher Programme zur Kontrolle vonverschiedenen Unixdiensten.

ucspi-tcp-0.84Das ,,Unix Client-Server Programm Interface`` Softwarepaket enthält Programme zumEntwickeln von TCP Client-Server Applikationen. Das tcpserver Programm aus diesem Paketwird als inetd Ersatz verwendet.

●

Nächste Seite: Konfiguration des Betriebsystems Aufwärts: Installation des BetriebssystemsVorherige Seite: Installation des Betriebssystems Inhalt Index Klaus Bauer 1999-10-20



cdn.preterhuman.net · Nächste Seite: Inhalt € Inhalt € Index Diplomarbeit an der...

Documents

Transcript of cdn.preterhuman.net · Nächste Seite: Inhalt € Inhalt € Index Diplomarbeit an der...