Um sich vor Gefahren aus dem Internet zu schützen, braucht man eine Firewall. Doch wenn diese installiert ist und es passiert nichts, dann ist das mit den Hackern wohl bloß Übertreibung und alles nur rausgeschmissenes Geld. Oder?
Wie die neue unfreiwillige Open Source von Microsoft [1] zeigt, sind Hacker eine ernst zu nehmende Bedrohung. Der Angriff selbst legte jedoch nur die Lücken bloß, die - historisch gewachsen - immer schon da waren und aus Bequemlichkeit oder um den Arbeitsablauf nicht zu stören nicht geschlossen wurden. Dem Autor ist eine Reihe von - nicht so namhaften - Firmen bekannt, denen es durchaus ähnlich ergehen könnte und die bislang nur Glück gehabt oder den Besuch noch nicht bemerkt haben.
Die meisten werden durchschnittlich jeden Tag zweimal angegriffen und mehrmals pro Monat finden sich Viren auf den Rechnern, die Rate schwankt dabei von Kunde zu Kunde. Nach der Installation von Firewalls gibt es dann meist eine Überraschung: Es werden Angriffe gemeldet, die bislang wegen der laxen Einstellung gar nicht angezeigt wurden. In zwei Fällen kam der Angriff von innen, es handelte sich um Trojaner-verseuchte Workstations (der Chefs). Auf Anwendungsebene gibt es immer wieder den Versuch, die Firewall als SMTP-Relay zu missbrauchen.
Der Fall Microsoft zeigt jedoch, dass allein der Einsatz von Firewalls für die Internet-Sicherheit noch nicht ausreicht und dass durch die Kombination von mehreren, eigentlich harmlosen Sicherheitsmängeln ein Sicherheitsloch entstehen kann:
Doch was für Lehren sind daraus zu ziehen und was hat das mit unserem Thema zu tun?
Viele Angriffe auf ein Firmennetz werden langfristig vorbereitet. Es geht dem Gegner zunächst darum, Kenntnisse über den Aufbau und mögliche Schwachstellen des Netzes zu bekommen. Macht man es dabei schon dem Angreifer sehr schwer, verliert er unter Umständen die Lust am Einbruch oder versucht es ein Haus weiter, unser Nachbar möge es uns verzeihen. Für ein LAN mit Verbindung ins Internet heißt das:
|
Portscan: Richtig |
|---|
| So sollte eine nmap-Ausgabe aussehen (LinuxWall V2, Linux-Kernel 2.4.0-test10): Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on ([Internetadresse gelöscht]):
(The 1520 ports scanned but not shown below are in state: filtered)
Port State Service
22/tcp open ssh
25/tcp open smtp
113/tcp open auth
TCP Sequence Prediction: Class=random positive increments
Difficulty=1580537 (Good luck!)
No OS matches for host (If you know what OS is running on it,
see http://www.insecure.org/cgi-bin/nmap-submit.cgi). Negativbeispiel: Offener Internet-Rechner Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on [Name gelöscht] ([Internet-Adresse gelöscht]):
(The 1511 ports scanned but not shown below are in state: closed)
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp filtered ftp
135/tcp open loc-srv
139/tcp open netbios-ssn
158/tcp open pcmail-srv
427/tcp open svrloc
5631/tcp open pcanywheredata
65301/tcp open pcanywhere
TCP Sequence Prediction: Class=trivial time dependency
Difficulty=16 (Easy)
Remote operating system guess: Windows NT4 / Win95 / Win98
Nmap run completed 1 IP address (1 host up) scanned in 19 seconds
|
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
