Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

33. Firewall Auditing

Die Überprüfung der Firewall ist eine ebenso komplexe wie zeitraubende Angelegenheit. Wie schwierig dies ist, und wieviele Fehler möglich sind, mag ein Beispiel zeigen. Seit Jahren lieferte CHECKPOINT Firewalls aus, viele dieser Installationen wurden von unabhängigen Experten überprüft, und für sicher befunden. Niemand hatte über Jahre hinweg auch nur daran gedacht, neben den TCP/IP Ports auch das SMNP Protokoll zu überprüfen. Hacker konnten so über Jahre hinweg bei einigen Installationen sämtliche Statistiken z.B. der Mail-Übertragungen über die Firewall hinweg einsehen. Die Mail - Adressen sämtlicher Kunden war dort aufgelistet. Auch die sogenannte Zertifizierungsstellen hatten diesen Test nicht durchgeführt. Bekannt wurde dieser Fehler erst über die BUGTRAQ Liste, woraufhin Checkpoint auch schnell reagierte, und die Standardeinstellung für SMNP des externen Interfaces auf "AUS" stellte. Andere Firewall-Installationen wurden für sicher befunden, obwohl viele der Angriffe via E-Mail über die Arbeitsstationen und die Makrofunktionen ausgeführt wurden (Siehe MELISSA). Es dürfte jedem klar sein, daß eine Firewall niemals Schutz bietet, sondern nur ALARM - MELDUNGEN an den Systemadministrator weitergeben kann. Diese richten sich nach der Security Policy für das Netzwerk und die User. Damit dieser Mechanismus auch korrekt arbeiten kann, müssen zuerst alle Ports überprüft werden. Hierzu werden alle Zielports von 0-65535 der Reihe nach gescannt. Viele Firewalls haben jedoch einen Scanner Detektor und schießen die Verbindung vom Scanner-Host schon nach 2 durchgescannten Ports und Melden einen Scanner-Angriff an den Systemadministrator. Hierbei kann der Portscanner nicht mehr entdecken, daß z.B. Port 25 oder 23 weit offensteht, weil die Firewall jeden Kontakt unterbrochen hat. Ein andere Fall ist das jüngste Ereignis mit dem TCPWRAPPER von Wietse Venema, dessen Quellcode von einem Hacker manipuliert wurde. Dieser reagierte auf normale Portscans völlig korrekt, nur wenn der Portscann von einem 400er Port aus initiiert wurde, dann öffnete sich eine ROOT-Shell. Das bedeutet insbesondere, daß nicht nur alle Zielports gescannt werden müssen, sondern auch alle Kombinationen von Quell-und Zielports. Ein einziger SCAN mit 65.000^2 Kombinationsmöglichkeiten dauert auf einem 10 MBit LAN ca. 30 Minuten pro Host. Derjenige, dessen Portscanner nach Sekunden schon eine Meldung liefert, der hat mit Sicherheit nur Zielports gescannt. Bekannte Security Scanner, wie ISS oder NMAP überprüfen nicht alle Kombinationen von Quell-und Zielports. Wer also insbesondere UNIX Maschinen im Internet betreibt, der sollte seine Maschinen nochmals gründlicher scannen.

Kritisch sind auch programmierbare Firewalls. Hier könnte ein Experte z.B. diese so programmieren, daß die Firewall sich für Zugriffe von außen öffnet, wenn in der Reihenfolge 17-4567-65123-2-470 die Ports kurz angesprochen werden. Dies läßt sich recht einfach z.B. mit der SINUS-Firewall-1 realisieren. (Übrigens kann man dieses Verfahren auch dazu benutzen, um eine Art Authentifizierung für Surfer zu realisieren, siehe Homepage von ARCOR). Man sollte auch als Nichtexperte stets in die Konfigurationsdatei der Firewall hineinschauen. Diese Konstrukte sind leicht zu entdecken. Wer also eine Firewall von einer externen Firma installieren läßt, der sollte stets dafür sorgen, daß das KNOW HOW in der eigenen Firma zumindest ausreicht, um die Firewallregeln überprüfen zu können.

Die Schußfolgerung daraus ist, daß für die Überprüfung einer Firewall ein Blick auf die Firewallregeln dringend geboten ist, um auszuschließen, daß Hintertüren eingebaut wurden.

Eine Firmen lassen trotzdem ihre Firewall Anbindung gerne überprüfen. Ziel könnte es z.B. sein, eine Datei von einem internen (FTP/FILE) Server in das Internet zu entführen. Diese Aufgabe ist dank Microsofts Sicherheitspolitik doch recht einfach zu bewältigen. Viel wichtiger ist es, daß die Alarmmechanismen auch funktionieren. Es darf einem Angreifer nicht gelingen, eine Datei unbemerkt zu entführen. Hierzu muß ein Angriff tatsächlich ausgeführt werden. Wenn der Systemadministrator alle Angriffe im Alltagsstreß bemerkt, dann ist viel erreicht. Hierzu gehört eine mehrtägige Ausbildung. Eine Firewall ist nur so sicher, wie sein Bedienungspersonal qualifiziert ist. Dabei spielen der Hersteller der Firewall und die Eigenschaften der Firewall nur eine untergeordnete Rolle. Man sollte also an der Firewall sparen, nicht aber an der Ausbildung der Administratoren. Wer Wert auf Bedienungskomfort der Firewall legt, der ist auch mit dem JAVA-Interface der SINUS Firewall gut bedient.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING