Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Es ist nun alles verboten, was nicht ausdrücklich erlaubt ist. Der Host mit der IP - Nummer INTRA1 kann also sicher surfen.
Achtung, von Sicherheit kann hier noch nicht die Rede sein !
Was ist, wenn ein Host mit einer IP-Adresse aus dem Intranet (INTRANET) von außerhalb Pakete an EXTERNES_INTERFACE sendet ? Hierzu muß man sich das Regelwerk noch einmal anschauen........die Regel 8:
ipfwadm -O -a accept -W $EXTERNES_INTERFACE -S $INTRANET
Diese Regel hatten wir eingeführt, damit die Pakete aus dem Intranet aus dem externen Interface in das Internet gelangen können. Angreifer aus dem Internet werden ja von der default policy abgelehnt, da ja keine der Regeln auf dieses Paket zutreffen würde.
Allerdings gibt es eine Ausnahme: Pakete, die als Quelladresse eine IP - Nummer aus dem Intranet besitzen, werden von dem externen Interface akzeptiert und weitergeleitet. Diese Pakete sind gespoofte Pakete, die Cracker synthetisch erzeugen. Hierzu müssen Sie routingtechnisch näher an die Firewall heran, um ihren Angriff zu starten. Diese Möglichkeit, gespoofte Pakete in das Intranet senden zu können widerspricht völlig der default policy. Diese besagt, daß alles verboten ist, was nicht ausdrücklich erlaubt ist !
Demnach darf das Netzwerkinterface EXTERNES_INTERFACE entsprechend der Regel 9 keine Pakete annehmen, sondern nur aussenden. Also gibt es kein Problem ? Hier ist es:
Regel 10 besagt, daß das externe Netzwerkinterface, EXTERNES_INTERFACE aber dann Pakete forwarden, also weiterleiten darf, wenn diese aus dem Intranet stammen, also auch wenn diese von INTRA1 stammen. Weiterleitung von EXTERNES_INTERFACE bedeutet, daß das Paket zwar nicht nach der Regel 9 , aber entsprechend der Regel 10 Zugang zu der Firewall findet. Hat es Zugang gefunden, dann befindet sich dieses Paket innerhalb der Firewall und kann auch wieder entsprechend der Regel 9 die Firewall verlassen. Nun hängt es davon ab, welche Zieladresse das Paket besitzt. Ist die Zieladrese die Firewall selber, so kann ein Angreifer auf Dämonen der Firewall zugreifen, da diese sich ja an alle Interfaces gebunden haben. Die letzen drei Regeln erlauben es einem Angreifer, mit Paketen, deren Quelladresse im Intranet liegt, und deren Zieladresse die Firewall selber ist, von außen auf die Dämonen der Firewall zuzugreifen. Dieses Vortäuschen nennt man address spoofing. Entsprechend der Regel 7 könnte der Angreifer direkt seine Pakete an einen Host in dem Intranet adressieren und somit auf einen Server hinter der Firewall zugreifen.
Oops ! Das war so nun wirklich nicht beabsichtigt.
Wie ist das Dilemma zu beseitigen ? ?
Kein Problem - Es gibt anti spoofing Regeln, die genau aufpassen, ob es interne oder externe IP - Nummern sind, die an dem internen oder externen Interface ankommen:
# anti spoofing
ipfwadm -I -a deny -o -W $EXTERNES_INTERFACE -S $INTRANET
ipfwadm -O -a deny -o -W $EXTERNES_INTERFACE -D $INTRANET
Die fügen wir nun (fälschlicherweise) an das Regelwerk an ! Es werden nun alle Pakete abgelehnt, deren Quelladresse ein Host im INTRANET ist, und der über das externe Interface, EXTERNES_INTERFACE sich Zugriff verschaffen will. Ein - und ausgehender Verkehr mit falschen Absendern an das externe Interface wird geblockt. Zusätzlich ist eine Option -o eingefügt, die einfach nur besagt, daß Verstöße gegen die Firewallregel an den SYSLOGD gemeldet werden, der diese in die Datei /var/log/messages schreibt. Wer möchte, daß die Fehlermeldungen an einen weiteren LOGSERVER weitergeleitet werden, der möge sich mit Hilfe von man syslogd über die Syntax der Konfiguration des SYSLOGD informieren. Wer nämlich den SYSLOGD mit der Option -r aufruft, der muß damit rechnen, daß der SYSLOGD sich nicht nur an das LOOPBACK Interface bindet, sondern auch an die Netzwerkkarte, um von anderen Servern Logmeldungen entgegenzunehmen. Für eine Firewall tödlich ! Zur Auswertung mehrerer Firewalls sei der LOGSurfer von Wolfgang Ley, ehemals DFN-CERT, heute SecureNet, Hambung empfohlen. Ein sehr mächtiges, und zur Überwachung von Netzwerken auch völlig ausreichendes Werkzeug. Es wird hierfür auch kommerzieller Support angeboten. Als Alternative verbleibt nur noch der NFR (Network Flight Recorder) von NAI.
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |