Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

15.7 Counter Intelligence

Einige ergänzende Worte noch zu den Fähigkeiten der "counter intelligence", die die SINUS Firewall-2.0 so besonders auszeichnen.

Einige Kritiker mögen die spy Funktion für unethisch halten, wenn ein Host das Ziel eines Angriffs einer Firewall wird. Um diese etwas zu besänftigen, sollten einige Dinge nicht unerwähnt bleiben. Erstens startet die Firewall nur dann Aktivitäten, wenn dies der Systemadministrator auch ausdrücklich so will. Zweitens ermittelt die Firewall nur diejenigen Informationen von einem angreifenden Host, die dort auch abrufbar sind. Insbesondere betrifft dies Universitäten und UNIX Server im allgemeinen, die immer mehr zum Opfer von Hackern werden. Drittens ist es eventuell von Vorteil, wenn der Systemadministrator eines Hosts durch die Firewall automatisch z.B. via e-Mail über Angriffe, die von seinem Host ausgehen informiert werden kann.

Aktionen, die vom spy gestartet werden können

DNS lookup und ein Abgleich mit einem reverse lookup, auch double reverse lookup genannt, ist ein unverzichtbares Mittel, festzustellen, ob eine IP-Adresse in einem Netzwerkbereichs des Internet offiziell eingetragen ist, oder nicht. Wenn dieser Vergleich negativ ist, dann wird automatisch eine Warnung generiert. Typisch für eine solche Warnung sind hauptsächlich Konfigurationsprobleme. Nur wenn in Verbindung mit einer solchen Warnung z.B. auch der Einsatz eines Portscanners aufgezeichnet wird, dann erst ist es notwendig, aktiv zu werden.

Im folgenden soll die Firewall selber aktiv herausfinden, von welchem User der Angriff stammen könnte. Viele der Untersuchungen von spy liefern können falsche oder bewußt gefälschte Meldungen liefern. Dies sollte stets berücksichtigt werden, bevor besondere Maßnahmen ergriffen werden. Diese Tatsache sollte man stets im Hinterkopf behalten.

identd ist ein Dienst, der versucht, dem registrierten TCP Paket einen User auf dem Host zuzuordnen, bei anderen Paketen ist dieser Dienst nicht einsetzbar. Wenn alle wie erhofft funktioniert, dann steht im Logfile der Name desjenigen Users auf dem Host, der die Verbindung initiiert hat. Diese Einträge sollte man für spätere Auswertungen aufbewahren. Fehlermeldungen, wie no such user oder connection refused sind Anzeichen dafür, daß die Funtionen deaktiviert wurden.

finger ist der Versuch, einem fremden UNIX Host die momentan eingeloggten User zu entlocken. Den Rückantworten ist der Username und einige Zusatzinformationen zu entnehmen, die dieser in eine .plan Datei seines Homeverzeichnisses geschrieben hat.

rusers ist der Versuch festzustellen, von wo aus sich der User in den Host eingeloggt hat, und wie lange dieser schon aktiv oder unaktiv ist. (idle time)

Ohne besondere Anweisungen an die Firewall werden alle diese Ausgaben in die Datei firewall.spy in dem Verzeichnis des Logfiles abgelegt. Wenn das Schlüsselwort mail sich in demselben notification level, wie das spy Schlüsselwort befindet, dann werden zusätzlich die Ergebnisse per e-Mail zugestellt.

Hier ein paar Beispiele für eine Ausgabe in firewall.spy:

FIREWALL COUNTER INTELLIGENCE REPORT, Aug 09 12:20:02
Triggered by: (s 13) accept TCP 1.2.3.4:1065->193.194.195.196:telnet
  Host address: 1.2.3.4
  Host name:    oval.office.gov
identd information:
  User ID: mlevinski.

finger information:
  [1.2.3.4]
  Login: mlevinski                Name: Monica Levinski
  Directory: /home/unabom         Shell: /bin/csh
  On since Wed Aug  9 10:27 (EST) on tty1
  No Mail.
  No Plan.

  Login: bclinton                 Name: Bill Clinton
  Directory: /home/bclinton       Shell: /bin/bash
  On since Wed Aug  9  9:32 (EST) on tty2, idle 0:22
  New mail received Wed Aug  9 12:18 1995 (EST)
       Unread since Tue Aug  8 20:03 1995 (EST)
  Plan:
    Hanging around :))

rusers information:
  mlevinski  localhost:tty1   Aug  9 10:27
  bclinton   localhost:tty2   Aug  9  9:32    :22

Einige Erläuterungen zu diesem Beispiel:

Entsprechend der Größe der Logeinträge, die nur wenige Informationen des untersuchten Hosts erzeugen, solle man mit dieser Funktion äußerst sparsam umgehen, und dessen Einsatz stets auch zeitmäßig begrenzen, also die Funktion auf nur einmal alle 10 Minuten zulassen. Andernfalls ist mit einem DoS Versuch gegen die Firewall zu rechnen. Das wäre dann zwar kein echtes Problem, es ist aber stets unangenehm, wenn die Festplatte oder der Briefkasten voll läuft und die Firewall dann ihre Arbeit einstellt.

Wohin die Ausgabe geschrieben wird

Jede Ausgabe wird in die firewall.log Datei geschrieben. Wenn zudem noch das Schlüsselwort syslog angegeben wurde, wird ein Eintrag in die syslog Datei erfolgen.

Bei Angabe des Schlüsselwortes report wird diese Meldung in die Datei firewall.report geschrieben.

Gibt man das Schlüsselwort mail an, so werden diese Meldungen zusätzlich noch an einen e-Mail host gesendet. Das kann in dem Fall sehr nützlich sein, wenn dem Angreifer ein Einbruch in das System gelingen sollte, und dieser die Log Dateien beginnt, zu löschen.

Verwendete Abkürzungen

Wegen den verwendeten Abkürzungen, die allein den Zweck haben, das Logfile nicht zu schnell anwachsen zu lassen, ist es unverzichtbar, daß man sich mit einigen Kürzeln vertraut macht.

Regel Typen:

Filter Aktionen:

Protokolle:

Sofern die Protokolle über Ports kommunizieren, so sind Quell- und Zielhost mit angegeben.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING