Open Source im professionellen Einsatz
Linux-Magazin 01/2001

Angriffe auf Firewalls

Im Westen viel Neues

Um sich vor Gefahren aus dem Internet zu schützen, braucht man eine Firewall. Doch wenn diese installiert ist und es passiert nichts, dann ist das mit den Hackern wohl bloß Übertreibung und alles nur rausgeschmissenes Geld. Oder?

486

Wie die neue unfreiwillige Open Source von Microsoft [1] zeigt, sind Hacker eine ernst zu nehmende Bedrohung. Der Angriff selbst legte jedoch nur die Lücken bloß, die - historisch gewachsen - immer schon da waren und aus Bequemlichkeit oder um den Arbeitsablauf nicht zu stören nicht geschlossen wurden. Dem Autor ist eine Reihe von - nicht so namhaften - Firmen bekannt, denen es durchaus ähnlich ergehen könnte und die bislang nur Glück gehabt oder den Besuch noch nicht bemerkt haben.

Die meisten werden durchschnittlich jeden Tag zweimal angegriffen und mehrmals pro Monat finden sich Viren auf den Rechnern, die Rate schwankt dabei von Kunde zu Kunde. Nach der Installation von Firewalls gibt es dann meist eine Überraschung: Es werden Angriffe gemeldet, die bislang wegen der laxen Einstellung gar nicht angezeigt wurden. In zwei Fällen kam der Angriff von innen, es handelte sich um Trojaner-verseuchte Workstations (der Chefs). Auf Anwendungsebene gibt es immer wieder den Versuch, die Firewall als SMTP-Relay zu missbrauchen.

Der Fall Microsoft: Viele kleine Löcher imSicherheitskonzept

Der Fall Microsoft zeigt jedoch, dass allein der Einsatz von Firewalls für die Internet-Sicherheit noch nicht ausreicht und dass durch die Kombination von mehreren, eigentlich harmlosen Sicherheitsmängeln ein Sicherheitsloch entstehen kann:

Doch was für Lehren sind daraus zu ziehen und was hat das mit unserem Thema zu tun?

Beschränkung der Information: Nicht alle müssen alleswissen

Viele Angriffe auf ein Firmennetz werden langfristig vorbereitet. Es geht dem Gegner zunächst darum, Kenntnisse über den Aufbau und mögliche Schwachstellen des Netzes zu bekommen. Macht man es dabei schon dem Angreifer sehr schwer, verliert er unter Umständen die Lust am Einbruch oder versucht es ein Haus weiter, unser Nachbar möge es uns verzeihen. Für ein LAN mit Verbindung ins Internet heißt das:

Portscan: Richtig
oder falsch

So sollte eine nmap-Ausgabe aussehen (LinuxWall V2, Linux-Kernel 2.4.0-test10):

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on  ([Internetadresse gelöscht]):
(The 1520 ports scanned but not shown below are in state: filtered)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
113/tcp    open        auth

TCP Sequence Prediction: Class=random positive increments
                         Difficulty=1580537 (Good luck!)
No OS matches for host (If you know what OS is running on it,
see http://www.insecure.org/cgi-bin/nmap-submit.cgi).

Negativbeispiel: Offener Internet-Rechner

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on [Name gelöscht] ([Internet-Adresse gelöscht]):
(The 1511 ports scanned but not shown below are in state: closed)
Port       State       Service
7/tcp      open        echo
9/tcp      open        discard
13/tcp     open        daytime
17/tcp     open        qotd
19/tcp     open        chargen
21/tcp     filtered    ftp
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
158/tcp    open        pcmail-srv
427/tcp    open        svrloc
5631/tcp   open        pcanywheredata
65301/tcp  open        pcanywhere

TCP Sequence Prediction: Class=trivial time dependency
                         Difficulty=16 (Easy)
Remote operating system guess: Windows NT4 / Win95 / Win98

Nmap run completed  1 IP address (1 host up) scanned in 19 seconds

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erst mal anklopfen

    Egal ob Angreifer, Penetrationstester, Admin oder Netzwerktechniker: Keiner kommt ohne einen guten Scanner aus, der im Netz nach Hosts fahndet und deren Dienste abklopft. Das Lieblingswerkzeug der meisten ist Nmap. Zu Recht, da das Tool viele trickreiche Scantechniken kombiniert.

  • Sicher gerüstet

    Die dickste Rüstung bleibt nutzlos, wenn sie empfindliche Stellen offen lässt. Dieser simple Grundsatz gilt auch im Netz: Jedes Admin höchste Pflicht heißt Gefahren kennen, mögliche Schwachstellen rechtzeitig aufspüren und sie mit haltbaren Schilden abschirmen.

  • Fyodors Diätprogramm

    Während viele Werkzeuge von Version zu Version bauchiger werden, kommt Nmap 4 als Diet Nmap verschlankt daher. Die jüngste Inkarnation 4.00 arbeitet daher schneller und verlangt weniger Hauptspeicher.

  • Ampel-Schaltung

    Schon fast für tot erklärt, erleben Application Level Gateways derzeit eine Renaissance. Nur mit dieser Technik ausgestatteten Firewalls gelingt es, die vielen Dienste zu unterscheiden, die beispielsweise über Port 80 tunneln. Mit der Zorp-Firewall regelt der Admin sehr detailliert, welche Verbindungen er erlaubt.

  • Mieterverein im Visier

    Mietserver bilden dank steter Anbindung und fester IP ein prima Angriffsziel. Folgerichtig verpasst der hiesige Marktführer 1&1 seinen Rootservern eine externe Firewall. Das liefert den Anlass für eine kritische Betrachtung der Sicherheit des Gesamtsystems, die genauer zu lesen auch für kleinere Anbieter kein Fehler ist.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.